揭開IE瀏覽器自動關閉謎底

草鞋

單位局域網中有一臺客戶機安裝使用的仍然是Windows系統，可能由于用戶手頭沒有正版的安全工具可以利用，該系統一直沒有安裝防火墻和殺毒軟件。在上網沖浪的過程中，XP系統意外感染了網絡病毒，造成了IE瀏覽器無法正常工作，具體現象為：每次用鼠標雙擊系統桌面中的瀏覽器圖標，開啟IE瀏覽器的運行狀態時，瀏覽窗口打開后就會自動關閉，用戶根本不能正常瀏覽網頁內容。不過，讓用戶感覺到十分蹊蹺的是，在系統資源管理器窗口地址欄中，輸入上網地址卻能正常顯示網頁內容，為什么IE瀏覽器窗口會自動關閉呢？

考慮到系統資源管理器能正常打開網頁內容，而該管理器窗口仍然使用的是IE瀏覽器的內核，這就說明IE瀏覽器內核沒有受到損壞，很可能是網絡病毒或惡意程序非法修改了IE瀏覽器的某些設置。仔細觀察IE瀏覽器打開并自動關閉這一過程，發現窗口好像顯示過內容，為了弄明白這些內容是否與自動關閉故障有關，筆者嘗試再次開啟IE瀏覽器的運行狀態，并在瀏覽窗口顯示出內容，同時還沒有被自動關閉的一剎那，使用鍵盤上的“Print Screen”功能鍵，對瀏覽窗口內容執行抓屏操作，再將抓屏內容拷貝到畫圖程序中。認真查看圖片內容時，筆者看到瀏覽窗口標題欄中出現了“http：//www.0749.com”網站地址的身影，很顯然，IE瀏覽器窗口的首頁地址遭遇到了劫持現象，IE瀏覽器窗口自動關閉的問題多半與網站劫持有關。

排查步驟

1. 恢復首頁地址

既然IE瀏覽器的首頁地址已經被強制設置為“http：//www.0749.com”，采用手工方法，恢復瀏覽窗口的首頁地址，說不定就能解決IE瀏覽器自動關閉的故障現象。說干就干，筆者立即用鼠標右鍵單擊系統桌面上的IE瀏覽器圖標，從彈出的快捷菜單中點擊“屬性”命令，打開Internet屬性對話框，選擇“常規”選項卡，進入如圖1所示的選項設置頁面，在“主頁”位置處，點擊“使用空白頁”按鈕，確認后結束首頁地址恢復操作。不過，當筆者再次打開IE瀏覽器窗口時，看到該窗口還是一閃而過，這說明首頁地址被調整，不是IE瀏覽器窗口自動關閉的原因。重新進入Internet屬性對話框時，筆者看到“主頁”位置處的內容又變成了“http：//www.0749.com”，顯然這種辦法不能解決問題。

2. 尋找可疑程序

筆者擔心本地客戶端系統可能遭遇到可疑自啟動惡意程序的攻擊，該攻擊造成了IE瀏覽器窗口自動關閉現象。為了判斷自己的分析是否正確，筆者依次點擊系統桌面上的“開始”|“運行”選項，彈出系統運行對話框，輸入字符串命令“msconfig”并回車，展開系統配置實用程序對話框。選擇“啟動”標簽，進入如圖2所示的標簽設置頁面，仔細檢查這里的啟動項目列表，筆者沒有發現任何可疑份子。

后來，筆者不放心，又在系統運行對話框中執行“regedit”命令，打開系統注冊表編輯界面，仔細檢查了“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Winlogon”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼RunOnce”、“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Runonce”、“HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”、“HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run” 等分支下的啟動項目，也沒有找到可疑的自啟動程序，這就表明本地計算機中沒有可疑自啟動程序在攻擊IE瀏覽器。

3. 檢查沖突因素

大家知道，如果Windows系統中同時存在多個不同類型的上網瀏覽器時，它們相互之間很容易會發生沖突現象，這也容易導致IE瀏覽器在開啟運行的時候，出現自動關閉的問題。想到這一點，筆者仔細檢查了本地計算機中的所有程序，發現系統中除了安裝有IE瀏覽器程序外，還存在360瀏覽器程序，難道它們之間真的存在沖突現象？嘗試著卸載360瀏覽器程序后，又重新啟動了一下計算機系統，之后再打開IE瀏覽器程序窗口時，發現自動關閉的現象依然沒有消失，看來這種方法也不奏效。

4. 排除設置障礙

聯想到IE瀏覽器窗口在剛打開的一剎那，訪問過“http：//www.0749.com”站點，會不會是該站點的腳本內容造成了IE瀏覽器窗口被自動關閉呢，或者是IE瀏覽器不支持某些腳本程序呢？為了排除這種可能，筆者決定臨時停用IE瀏覽器的腳本調試功能。用鼠標右鍵單擊系統桌面上的IE瀏覽器圖標，從彈出的快捷菜單中點擊“屬性”命令，打開Internet屬性對話框，選擇“高級”選項卡，進入如圖3所示的選項設置頁面，在“設置”列表中找到“禁用腳本調試（Internet Explorer）”選項，取消該選項的選中狀態，確認后繼續進行上網測試操作，不過IE瀏覽器窗口還是在轉眼之間就被關閉了。

之后，筆者順便檢查了IE瀏覽器的其他設置參數，看到在“安全”選項設置頁面中，該瀏覽器處于較高的安全級別，為了防止高安全級別影響網頁的正常顯示，筆者特地在該選項設置頁面中，用鼠標拖動安全滑塊降低IE瀏覽器的默認安全級別，可是測試后發現該設置依然沒有取得任何效果。后來，筆者又意外看到IE瀏覽器程序的版本比較低，決定將其升級到最新版本，以提高該程序的兼容能力，遺憾的是，版本升級操作也不能解決任何問題。

既然對IE瀏覽器的各種可能設置調整過后，都沒能達到預期的效果，筆者決定利用該程序自帶的“重置”功能，索性將其各種設置恢復到默認狀態。在重置IE瀏覽器的各項設置參數時，首先進入到Internet高級屬性對話框，在“重置Internet Explorer設置”位置處，按下“重置”按鈕，再重新啟動IE瀏覽器窗口時，還是不能解決問題，這說明上述故障現象與IE瀏覽器自身設置沒有任何關系。

5. 修復系統文件

倘若Windows系統的某些核心文件意外受到損壞的話，那么IE瀏覽器的工作狀態也有可能不正常。要是Windows系統只有少數幾個系統文件受損時，那可以考慮使用Windows系統自帶的SFC掃描修復命令，來嘗試對那些與IE瀏覽器相互關聯同時已經受到損壞的系統文件進行修復，一旦修復成功后，說不定IE瀏覽器的啟動又會恢復正常狀態了。在修復受損系統文件時，筆者依次單擊系統桌面上的“開始”|“運行”選項，在彈出的系統運行文本框中，輸入“sfc /scannow”字符串命令（如圖4所示），單擊“確定”按鈕后，Windows系統就會自動開始搜索掃描系統的每個角落位置，如果探測到系統文件的版本不正確或者系統文件已經受到損壞時，它將會自動彈出提示對話框，要求用戶插入Windows系統安裝光盤，來提取正常的系統文件，來實現修復系統受損文件目的。系統文件修復很順利，不過在重新啟動Windows系統后，IE瀏覽器仍然工作不正常。

在修復好系統文件后，筆者又懷疑某些DLL文件被意外刪除，引起了IE瀏覽器窗口模塊不能正常工作。為此，筆者將Windows系統安裝盤放入物理光驅，打開系統運行對話框，在其中執行“rundll32.exe setupapi，InstallHinfSection DefaultInstall 132 %windir%＼Inf＼ie.inf”命令，對IE瀏覽器程序進行重新安裝操作，之后又依次執行“regsvr32 actxprxy.dll”、“regsvr32 shdocvw.dll ”等字符串命令，嘗試對IE瀏覽器的主要DLL文件執行重新注冊操作，不過這些努力還是沒有換來任何回報。沒有辦法，筆者又按照同樣的操作，將與IE瀏覽器程序有關的其他DLL文件依次注冊了一遍，例如，對shell32.dll、browseui.dll、oleaut32.dll、urlmon.dll、mshtml.dll等動態鏈接庫文件，都進行了重新注冊操作，不過還是一點效果都沒有。

6. 清除網絡病毒

既然上面的各項排查都沒有能夠解決問題，筆者只好將問題的責任推卸給網絡病毒了。大家知道，很多十分奇怪的故障現象，往往多是由于網絡病毒或惡意程序造成的，現在筆者唯一能做的事情，就是更新殺毒軟件到最新版本，并利用它掃描查殺整個計算機硬盤。

首先在局域網中找一臺能夠正常訪問網頁的客戶機，在該計算機中下載獲得360殺毒軟件和360安全衛士這兩款安全工具，將其他發布成共享狀態，通過共享訪問操作將它們拷貝到故障客戶機硬盤中。之后，按照默認設置，將它們分別安裝到WinXP系統中，并分別對它們執行升級操作，確保它們處于最新版本狀態。接下來，開啟360殺毒軟件的運行狀態，開始對故障客戶機進行全面的病毒查殺操作，經常漫長的病毒查殺等待后，殺毒工具并沒有找到任何網絡病毒和惡意軟件的“身影”。

下面，筆者又啟動運行了360安全衛士，點擊主程序界面中的“立即體驗”按鈕（如圖5所示），對Windows XP系統的安全狀況進行徹底地體檢。沒有多長時間，360安全衛士返回了體檢結果，“電腦體驗得分：42”，這說明故障客戶機的安全狀態不容樂觀。切換到360安全衛士程序的“系統修復”選項設置頁面中，筆者看到一個IE瀏覽器可能被修改的提示項目，很明顯，360安全衛士程序終于找到了潛藏的病毒程序，很可能是該病毒在暗中搗亂，影響IE瀏覽器的啟動運行。根據提示，筆者點擊了對應選項設置頁面中的“立即修復”按鈕，開始對潛藏病毒的破壞執行修復操作，修復操作結束后，將故障客戶機重新啟動了一下。

7. 修復相關鍵值

由于病毒對系統注冊表的一些修改破壞操作，無法利用360安全衛士程序自動修復成功，不得已，筆者決定采用手工方法，嘗試將系統相關鍵值恢復正常。

首先依次點擊系統桌面上的“開始”|“運行”選項，彈出系統運行對話框，輸入字符串命令“regedit”并回車，切換到系統注冊表編輯界面。逐一選擇“編輯”|“查找”命令，彈出注冊表鍵值查找對話框，在“查找目標”文本框中，輸入關鍵字“www.0749.com”，如圖6所示，點擊“查找下一個”按鈕，很快Windows XP系統就將與關鍵字匹配的相關鍵值和子項搜索并顯示出來了。選中與“www.0749.com”關鍵字有關的鍵值選項，并用鼠標右鍵單擊之，執行快捷菜單中的“刪除”命令，將其從系統注冊表中刪除掉。

當然，為了保證系統安全，在對注冊表鍵值執行刪除操作時，建議大家先對有關注冊表分支或對整個注冊表執行備份操作，日后遇到意外的時候，能夠隨時方便恢復。繼續進行鍵值查找操作，直到注冊表查找任務結束，最后關閉注冊表編輯界面，再將計算機系統重新啟動一下。

解決故障

經過上述處理操作之后，筆者又一次小心地開啟了IE瀏覽器窗口。讓人感到十分欣慰的是，這次瀏覽器窗口沒有象以往那樣自動關閉，在瀏覽窗口地址欄中輸入網站地址時，也能正常顯示網頁內容了。原以為故障現象已經被成功解決了，可是沒有多長時間，又發生了新的故障，IE頁面被強行跳轉到其他站點。

再次使用360安全衛士程序掃描檢測Windows XP系統，發現系統中鏈接到網站地址的快捷方式“：@shdoclc.dll，-880”不正常，進一步查看后，看到HKEY_CLASSES_ROOT＼CLSID＼{0CE009D8-FCF8-E081-231A-75A15E78F64A}＼TypeLib[Default]：（{B351EBAF-7DD8-4AE9-A7FF-3628D157D82E}）注冊表分支存在問題。重新打開系統注冊表編輯窗口，將鼠標定位到上述注冊表分支上，將目標分支下的內容全部刪除，再重新啟動計算機系統。之后，打開系統資源管理器窗口，依次展開“C：＼Program Files＼Internet Explorer”文件夾窗口，選中并刪除其中的dat類型文件，再次將計算機系統重新啟動一下。這時，打開IE瀏覽器窗口進行上網測試時，發現它的工作狀態終于徹底正常了。