在上網時，打開某一鏈接網頁時，跳出“是否將http://www.網站地址.com設為首頁，同時在提示框中給出了“是”和“否”兩個確認按鍵，點“否”，可當再次打開IE瀏覽器時，發(fā)現(xiàn)IE首頁已經被竄改為“http://www.網站地址.com”。
“頑固”的IE竄改元兇
　　打開IE“屬性→常規(guī)→主頁”，將“http://www.網站地址.com”修改為自己習慣的主頁，以為事情就這么簡單處理就完了，可下次開機時發(fā)現(xiàn)IE的首頁又被竄改為“http://www.網站地址.com”，這個網站看上去也很正規(guī)，但是它如此“強奸民意”實在是討厭，于是決定要揪出竄改IE首頁的元兇。
　　IE首頁的更改是通過修改注冊表的鍵值來實現(xiàn)的，要想從根本上將IE首頁修改回來，還要從注冊表入手，于是打開“開始→運行”，輸入“regedit”，打開注冊表編輯器，然后按 F3鍵打開搜索窗口，并選擇“查看”中的“項”、“值”、“數(shù)據(jù)”項，輸入“http://www.網站地址.com”后搜索，果然在注冊表中發(fā)現(xiàn)好多相關的鍵值，將它們全部刪除掉，本以為這樣處理應該是萬無一失，可再次開機時，IE的首頁仍舊被竄改。
發(fā)現(xiàn)元兇，一舉擒拿
　　我整理了一下思路，首先，要修改瀏覽器首頁必定要修改注冊表。但是刪除全部相關注冊表鍵值后，IE首頁仍然被竄改。那么有一個可能，就是它在注冊表中有自啟動項。
　　看來這個竄改元兇還真不可小瞧，于是我重點對注冊表啟動相關鍵值進行檢查，果然在HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下以及在HKEY-LOCAL-USER\Software\Microsoft\Windows\CurrentVersion\Run下發(fā)現(xiàn)了數(shù)據(jù)值為“ regedit -s C:\$NtUninstallQ887678$\WINSYS.cer”的“win32”字符串，將這三項啟動項全部刪除。
　　然后在資源瀏覽器中打開“工具→文件夾選項→查看→將顯示所有文件夾選中”，再將“隱藏受保護操作系統(tǒng)文件” 前的鉤去掉，這樣在C盤根目錄下就找到了“$NtUninstallQ887678contentrdquo;文件夾，將該文件夾刪除，重新啟動系統(tǒng)，IE首頁不再被竄改。擒拿元兇成功。

　　這個元兇的確很狡猾，當我們點“否”的時候，就下載了病毒文件，并作為系統(tǒng)文件隱藏起來，給手動清除添加障礙，同時還利用“regedit -s” 這個命令參數(shù)使得它在系統(tǒng)啟動時不出現(xiàn)任何提示。而且它是自動導入修改注冊表，使得我們修改后的注冊表再次被竄改。不過再狡猾的狐貍也逃脫不過獵人的眼睛，只要我們理清思路，還是很容易將它緝拿歸案的。
　　大多數(shù)網友都會遇到顏廷柱朋友的這種情況，很多網站特別是個人網站喜歡使用一些近似于“流氓”的手法，強行修改我們的IE默認首頁。對于這種情況，除了使用前文中提到的方法外，我們還可以使用超級兔子魔法設置等系統(tǒng)優(yōu)化工具對IE的首頁進行恢復。同時使用超級兔子魔法設置的惡意插件清理工具，將非法進入我們系統(tǒng)竄改IE首頁的元兇清理出去。