V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
shijunyi
V2EX  ›  问与答

浏览器首页被篡改成 hao123, 360、火绒均扫描不出来,而且进程很诡异

  •  
  •   shijunyi · 2018-01-03 16:22:00 +08:00 · 6526 次点击
    这是一个创建于 2510 天前的主题,其中的信息可能已经有所发展或是发生改变。

    去年双 11 那会开始的,折腾了好久,但是不想重装电脑,使用 360、火绒均扫描不出来。

    桌面双击 chrome 快捷方式,窗口会闪一下然后才打开。使用火绒剑监控进程。大概是这样:

    双击运行创建的 chrome 进程被关闭(桌面闪一下),然后再次创建带 hao123 尾巴的 chrome 浏览器进程。

    双击快捷方式打开的进程 父进程是 explorer 打开是自己设置的首页。

    被关闭后再次创建的进程 父进程是 WmiPrvSE.exe,命令行带 hao123 首页网址,打开就是 hao123。

    各种软件扫描、DLL 钩子什么的都查过,查不出来。实在不行,只能重装了。 帮忙分析下是否能解决?谢谢。

    43 条回复    2018-01-04 16:20:50 +08:00
    jadeity
        1
    jadeity  
       2018-01-03 16:30:51 +08:00
    火绒的浏览器保护开了吗?如果开了看一下设置的
    onsale
        2
    onsale  
       2018-01-03 16:32:51 +08:00 via Android
    就用火绒锁定自定义主页
    xh2011wuchi
        3
    xh2011wuchi  
       2018-01-03 16:34:08 +08:00
    以前遇到过,安装 360 给搞定了(然后就卸载了.....)
    jadeity
        4
    jadeity  
       2018-01-03 16:39:46 +08:00
    @onsale 好像火绒默认的是锁 hao123.。。。。。
    rosu
        5
    rosu  
       2018-01-03 16:40:54 +08:00 via Android
    @jadeity 印象中可以锁其他主页。不过锁 hao123 火绒有收入。
    jadeity
        6
    jadeity  
       2018-01-03 16:43:43 +08:00
    @rosu 肯定可以改啊,就是怕楼主开了还忘了改。
    shijunyi
        7
    shijunyi  
    OP
       2018-01-03 16:44:59 +08:00
    @jadeity 开火绒的浏览器保护。 依旧是 hao123,并不是默认的主页,不过 hao123 后面带的数字变了。难道真的锁 hao123 了...
    aminic
        8
    aminic  
       2018-01-03 16:45:16 +08:00 via Android
    made in china 全家桶啊
    shijunyi
        9
    shijunyi  
    OP
       2018-01-03 16:47:00 +08:00
    @jadeity 刚看到。锁主页,设置里面可以改 hao123、2345 还有自定义等
    swsh007
        10
    swsh007  
       2018-01-03 16:47:30 +08:00 via Android
    2345 概率大。
    aalska
        11
    aalska  
       2018-01-03 16:48:51 +08:00
    安装数字 360 解决后卸载
    aalska
        12
    aalska  
       2018-01-03 16:49:49 +08:00
    @aalska 看错了 没看到楼主写的 360.。。。。

    重装大法好
    eslizn
        13
    eslizn  
       2018-01-03 16:51:13 +08:00
    之前遇到过一个浏览器“改首页”的做法:快捷方式参数
    7654
        14
    7654  
       2018-01-03 16:51:39 +08:00
    也许是快捷方式有问题,直接运行 exe 文件呢
    rosu
        15
    rosu  
       2018-01-03 16:51:48 +08:00
    很久以前遇到一次篡改主页的,非常狠,直接加载为驱动,系统一运行就帮我修改了。
    后来用 NOD32 扫出来这个异常驱动。删了就完了。供参考(也可能没有参考意义
    jadeity
        16
    jadeity  
       2018-01-03 16:52:26 +08:00
    @shijunyi 火绒还是可以的,前两天不是还怼企鹅,可能你开的时候着急了没看全。
    shijunyi
        17
    shijunyi  
    OP
       2018-01-03 16:54:35 +08:00
    @eslizn @7654 快捷方式是干净的,他是关掉正常无篡改主页的进程,然后新建一个有带 hao123 网址参数的进程。所以并不是快捷方式的问题
    privil
        18
    privil  
       2018-01-03 16:55:16 +08:00
    下个 windows 清理助手 绿色版 扫扫看,不知道支持 win10 不,看官网支持 win8.1 是不是装过驱动精灵,是金山系的流氓行为
    gclove
        19
    gclove  
       2018-01-03 16:55:27 +08:00
    这么牛逼的技术, 你不学习下来嘛
    shijunyi
        20
    shijunyi  
    OP
       2018-01-03 16:56:15 +08:00
    @jadeity 谢谢提醒,是已经被篡改首页了,我才去安装火绒的,然后看你回复就去打开 浏览器保护。不过依旧问题还在。
    pipixia
        21
    pipixia  
       2018-01-03 16:57:46 +08:00 via Android
    路由器直接禁止访问 123 这种网站
    ytterbium
        22
    ytterbium  
       2018-01-03 16:57:56 +08:00 via Android
    ghost 安装的 win7 遇到过顽固的篡改主页行为,用 360 全盘查杀和系统修复可以解决,火绒扫不出来
    fengye1996
        23
    fengye1996  
       2018-01-03 16:58:07 +08:00
    我是安装小红伞找到木马的,然后就解决了。
    jadeity
        24
    jadeity  
       2018-01-03 17:07:27 +08:00   ❤️ 1
    onsale
        26
    onsale  
       2018-01-03 17:09:01 +08:00
    @jadeity #4 默认不锁定主页,需要手动开启这个功能
    yu099
        27
    yu099  
       2018-01-03 17:13:10 +08:00 via Android
    @shijunyi 火绒锁主页要选择过的。它现在没广告,主要是靠锁 123 赚钱,你可以自行更改,默认不打开
    hinate
        28
    hinate  
       2018-01-03 17:14:33 +08:00 via iPhone
    把 chrome 的名字改掉就好了...我是这样操作的
    shijunyi
        29
    shijunyi  
    OP
       2018-01-03 17:21:33 +08:00
    @hinate 谢谢,已经试过了 无效
    weiyichen2011
        30
    weiyichen2011  
       2018-01-03 17:30:43 +08:00
    Autoruns 仔细看看有无可疑项
    mrmrchu
        31
    mrmrchu  
       2018-01-03 17:43:29 +08:00
    装机请用微 PE 工具箱,顺便给开发者打 10 块钱的捐赠。不要再用其他任何杀马特 PE 助手(会捆绑安装无尽全家桶)。
    安装完成之后,立马下载免费版的 avast 杀毒软件(杀软不要用国产,不要用国产,不要用国产)。
    不要去百毒下载软件,如果是有固态硬盘的电脑,保你两年不中全家桶不卡。
    FrancisWu
        32
    FrancisWu  
       2018-01-03 17:44:21 +08:00 via iPhone
    我记得我也遇到过一次差不多的,最后看出来好像是启动浏览器的时候带了一个参数,把快捷方式啥的换掉,或者重装一下浏览器看看
    zk8802
        33
    zk8802  
       2018-01-03 17:52:21 +08:00 via iPhone
    @shijunyi 楼主留个邮箱,我可以帮你远程解决。
    endoffight
        34
    endoffight  
       2018-01-03 18:32:44 +08:00 via iPhone
    这个我同事有遇到过,本质原因是有一个驱动程序,有微软签名,他会生成一个 exe,在浏览器的快捷方式加启动参数,解决办法是在安全模式删除相关文件,或者在正常模式下删除后强行重启,因为关机重启也被挂了钩子
    chocolatesir
        35
    chocolatesir  
       2018-01-03 20:16:49 +08:00 via Android
    @mrmrchu 装机用原版系统没什么必要一开始就杀毒啊。
    520671
        36
    520671  
       2018-01-03 20:23:49 +08:00 via Android
    经判断,这是 WMI 脚本锁定首页

    既然安装了火绒,去求助官方群
    des
        37
    des  
       2018-01-03 20:39:05 +08:00 via Android
    WmiPrvSE 是 wmi 相关的东西,检查下 wmi 吧。现在好像都流行这种劫持
    mrmrchu
        38
    mrmrchu  
       2018-01-03 20:45:28 +08:00
    @chocolatesir 如果你自己使用习惯好,肯定是没问题。但是如果给别人装,不到 2 天别人就能用得装满全家桶。
    TigerK
        39
    TigerK  
       2018-01-03 21:17:24 +08:00
    试试 ToolsLib 的 AdwCleaner

    网址是 https://toolslib.net/downloads/viewdownload/1-adwcleaner/
    jy02534655
        40
    jy02534655  
       2018-01-04 10:56:41 +08:00
    所以装机还是的找官方纯净版...
    eluotao
        41
    eluotao  
       2018-01-04 10:56:46 +08:00
    最简单的方法就是 进入 chrome 安装目录 更改 chrome.exe 程序名称中的 chrome1.exe 就不会有了

    如果想彻底解决,需要两个工具...一个一个排查.这里就不推荐了
    kawaii303
        42
    kawaii303  
       2018-01-04 12:43:49 +08:00
    给 Chrome 改个名称,我以前遇到过这个,后来发现是 AutoCAD 病毒,清除完病毒后就好了,参考一下我这篇文章。http://blog.sina.com.cn/s/blog_773dee930102xlfe.html
    shijunyi
        43
    shijunyi  
    OP
       2018-01-04 16:20:50 +08:00
    谢谢各位回复,最后是修改 chrome.exe 程序名称解决。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5634 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 07:49 · PVG 15:49 · LAX 23:49 · JFK 02:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.