浏览器首页被篡改成 hao123, 360、火绒均扫描不出来,而且进程很诡异

2018-01-03 16:22:00 +08:00
 shijunyi

去年双 11 那会开始的,折腾了好久,但是不想重装电脑,使用 360、火绒均扫描不出来。

桌面双击 chrome 快捷方式,窗口会闪一下然后才打开。使用火绒剑监控进程。大概是这样:

双击运行创建的 chrome 进程被关闭(桌面闪一下),然后再次创建带 hao123 尾巴的 chrome 浏览器进程。

双击快捷方式打开的进程 父进程是 explorer 打开是自己设置的首页。

被关闭后再次创建的进程 父进程是 WmiPrvSE.exe,命令行带 hao123 首页网址,打开就是 hao123。

各种软件扫描、DLL 钩子什么的都查过,查不出来。实在不行,只能重装了。 帮忙分析下是否能解决?谢谢。

6536 次点击
所在节点    问与答
43 条回复
pipixia
2018-01-03 16:57:46 +08:00
路由器直接禁止访问 123 这种网站
ytterbium
2018-01-03 16:57:56 +08:00
ghost 安装的 win7 遇到过顽固的篡改主页行为,用 360 全盘查杀和系统修复可以解决,火绒扫不出来
fengye1996
2018-01-03 16:58:07 +08:00
我是安装小红伞找到木马的,然后就解决了。
jadeity
2018-01-03 17:07:27 +08:00
onsale
2018-01-03 17:08:16 +08:00
onsale
2018-01-03 17:09:01 +08:00
@jadeity #4 默认不锁定主页,需要手动开启这个功能
yu099
2018-01-03 17:13:10 +08:00
@shijunyi 火绒锁主页要选择过的。它现在没广告,主要是靠锁 123 赚钱,你可以自行更改,默认不打开
hinate
2018-01-03 17:14:33 +08:00
把 chrome 的名字改掉就好了...我是这样操作的
shijunyi
2018-01-03 17:21:33 +08:00
@hinate 谢谢,已经试过了 无效
weiyichen2011
2018-01-03 17:30:43 +08:00
Autoruns 仔细看看有无可疑项
mrmrchu
2018-01-03 17:43:29 +08:00
装机请用微 PE 工具箱,顺便给开发者打 10 块钱的捐赠。不要再用其他任何杀马特 PE 助手(会捆绑安装无尽全家桶)。
安装完成之后,立马下载免费版的 avast 杀毒软件(杀软不要用国产,不要用国产,不要用国产)。
不要去百毒下载软件,如果是有固态硬盘的电脑,保你两年不中全家桶不卡。
FrancisWu
2018-01-03 17:44:21 +08:00
我记得我也遇到过一次差不多的,最后看出来好像是启动浏览器的时候带了一个参数,把快捷方式啥的换掉,或者重装一下浏览器看看
zk8802
2018-01-03 17:52:21 +08:00
@shijunyi 楼主留个邮箱,我可以帮你远程解决。
endoffight
2018-01-03 18:32:44 +08:00
这个我同事有遇到过,本质原因是有一个驱动程序,有微软签名,他会生成一个 exe,在浏览器的快捷方式加启动参数,解决办法是在安全模式删除相关文件,或者在正常模式下删除后强行重启,因为关机重启也被挂了钩子
chocolatesir
2018-01-03 20:16:49 +08:00
@mrmrchu 装机用原版系统没什么必要一开始就杀毒啊。
520671
2018-01-03 20:23:49 +08:00
经判断,这是 WMI 脚本锁定首页

既然安装了火绒,去求助官方群
des
2018-01-03 20:39:05 +08:00
WmiPrvSE 是 wmi 相关的东西,检查下 wmi 吧。现在好像都流行这种劫持
mrmrchu
2018-01-03 20:45:28 +08:00
@chocolatesir 如果你自己使用习惯好,肯定是没问题。但是如果给别人装,不到 2 天别人就能用得装满全家桶。
TigerK
2018-01-03 21:17:24 +08:00
试试 ToolsLib 的 AdwCleaner

网址是 https://toolslib.net/downloads/viewdownload/1-adwcleaner/
jy02534655
2018-01-04 10:56:41 +08:00
所以装机还是的找官方纯净版...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/419756

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX