清除1188网站恶意劫持网页浏览

首先藐视一下1188网站的工作人员，如果不是别人嫁祸的话，你们的做法实在太下流了！

 

好，进入正题。本人在安装软件时候（应该是安装了从verycd上下的一个小游戏，此处提到verycd只是说明正规网站可能在文件监视上也会有疏漏，verycd我会永远支持滴~~~）不幸中招的。

 

现象：打开浏览器，发现主页变成了1188的网站。桌面上多了两个IE浏览器图标。

 

尝试第一步（失败）：修改起始页，这个估计是一些善意的软件才会做的事情。可惜1188不是。因为用的是遨游，我检查了遨游和IE的起始页，结果均不是1188，所以料想是注册表的问题。

 

尝试第二步（失败）：删除注册表中的1188相应键值，就是直接Crtl+F搜1188即可，注意只要删除1188的那条网址即可，如：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"  “1188的网址”

这里要保留C:\\Program Files\\Internet Explorer\\iexplore.exe\的信息。全部删除后，发现初始页依然没有改变。

 

尝试第三步（失败）：查看桌面上的两个IE图标，发现存在一个快捷方式。打开其属性，发现在目标栏中存在IE运行增加了参数的问题，这个参数不用说就是1188的网站。删除这个参数后点应用，发现磁盘写保护了。网上查了下，使用unlocker将其删除。删除后发现，情况依旧。

 

尝试第四步（失败）：是不是有木马在动态监控着呢？上网搜了下，发现有大人说存在一个文件c:\windows\system32\下的PnkBstrec.exe，这个文件我没有找到，倒是找了个pnkx.exe，不知道是不是这个，上网搜了下，貌似也是一个马，删除（其实在没删除前的，我在安全模式下运行了一次，发现安全模式下这个程序竟然运行着）。在进程中搜索该马，没有。之后又把注册表中的所有pnkx的键都删除了。但，还是不行。。。

 

尝试第五部（成功）：是不是还有快捷方式呢？是的，在快速启动里面，桌面上的浏览器（包括IE，遨游等）的快捷方式都要将其删除重建，之后重启下浏览器，OK~

 

折腾了这么久，总结出以下步骤：

先下个Unlocker（->进安全模式）->结束pnkx进程->删除注册表中的1188相应键值和Pnkx（不知道具体文件名，估计是pnk****.exe）的相应键值->删除木马pnkx->使用unlocker删除桌面和快速启动中所有的浏览器快捷方式->重建快捷方式->搞定~~~

 

最后再藐视下1188网站，太邪恶了~