引言:
我个人使用 windows 系统习惯较好,计算机专业走了许多坑爬出来的,现在看不到弹窗广告,浏览器主页没有被劫持,网页广告也过滤的差不多。
但是我发现无论何时何地,C 盘有一个 2345 的文件夹永远删不掉,删了只管当时,重启系统又安安静静的躺在原位,任务管理器里也找不到相关进程(或者是伪装的我不认识)。
1
terranboy 2021-04-16 16:16:05 +08:00 2
突然感觉国内的 win 用户好卑微
|
2
jasonyang9 2021-04-16 16:17:25 +08:00 15
开启文件系统审计( FS Audit ),根据日志分析是哪个进程创建的目录
https://www.varonis.com/blog/windows-file-system-auditing/ |
3
Jirajine 2021-04-16 16:17:32 +08:00 via Android 43
不懂。如果“个人使用 Windows 系统习惯较好”,那么电脑里绝无可能出现任何与 2345 相关的东西。
|
4
codehz 2021-04-16 16:18:19 +08:00 1
建议放弃斗争,直接重装系统吧,人家花费大价钱聘请业内专家整出的流氓软件岂能轻易的解决呢。。。
|
5
huangsen365 2021-04-16 16:18:54 +08:00 via iPhone
重装 msdn ltsc 原装版本
|
6
duzhor OP @huangsen365 就是用的 LTSC
|
8
alexkkaa 2021-04-16 16:23:01 +08:00
不要装中文英文系统, 装法德意日,再装 zh 语言包
|
9
Jirajine 2021-04-16 16:23:13 +08:00 via Android 3
什么叫“Windows 系统习惯较好”?我觉得,最基本的,通过官方镜像安装,不使用 OEM 厂商预装的系统,不使用任何 PE 、管家、装机工具之类玩意。安装任何非 FOSS 程序前都要仔细审计确保你信任其开发商。
对所有来自中国大陆的、非官方版本的、经过修改的程序,一律使用虚拟机运行。 我不信这样还能有 2345 这样的东西。 |
10
1if5ty3 2021-04-16 16:25:36 +08:00
我就正常使用,不下载乱七八糟的软件,只从官网下载,加上火绒加持。已经很久没见过广告了。
|
11
murmur 2021-04-16 16:25:47 +08:00
2345 是毒瘤,除了新系统彻底禁止安装没别的方法
|
12
cslive 2021-04-16 16:27:35 +08:00
刚装的就出现这种情况,估计用的 pe 有问题,重装吧,用微软提供的工具安装
|
13
Jirajine 2021-04-16 16:27:50 +08:00 via Android 2
对了,再补充一点。不要购买通过 WPBT 向系统内注入程序的 OEM 厂商的设备。如果已经买了,那就不要安装 Windows 系统。
|
14
lakehylia 2021-04-16 16:28:53 +08:00 1
官网下载 win10 。虚拟机安装,然后你每安装一个软件,看看这个文件夹在不在,然后你就知道是哪个软件带的了。
|
15
NewConn 2021-04-16 16:34:41 +08:00
我之前也出现了类似情况,所有浏览器包括 IE 、Chrome 、FireFox,主页被修改为 hao360,经检查是浏览器快捷方式被加入启动参数;
手动去掉启动参数后,主页可以恢复正常,但一段时间又会自动加上; 有人建议"右键-属性"关闭浏览器主程序及快捷方式的写入权限,仅留下读取权限,治标不治本,洁癖受不了; 后来分析启动调用链发现,是 360 残留的垃圾 dll 在 explorer 上加了一个 hook,启动 chrome 时,动态加上启动参数,而且这个 dll 还删不掉; 最后借助火绒把这个 dll 删了,当然火绒用完也卸载了; 最终还是重装系统了,因为我也不信任火绒 |
16
benjix 2021-04-16 16:36:02 +08:00
查一下计划任务
|
17
terranboy 2021-04-16 16:39:51 +08:00 1
是不是用 pe 装的系统 那应该是 pe 的问题
|
18
pydiff 2021-04-16 16:45:15 +08:00
我自己装了好压跟看图王来用,刚刚去看了,这两个软件的文件夹下都没有 2345 的浏览器这个 exe,所以估计是因为你用的 pe 有问题的
|
19
acmore 2021-04-16 16:50:22 +08:00 1
习惯较好是不会有 2345 的
|
20
yunyuyuan 2021-04-16 16:52:31 +08:00 1
装 win 我只用 wepe
|
21
l890908 2021-04-16 17:17:51 +08:00 4
个人表示没有这个,历史上也不曾出现过,这种情况先去下载 360,用上面的强制删除,并阻止恢复的功能予以删除,然后再卸载 360
|
22
xiaoz 2021-04-16 17:53:27 +08:00 via Android
你用的流氓 PE 安装的吧,部分 PE 安装会动手脚。
|
23
JensenQian 2021-04-16 17:55:59 +08:00 1
用 360 把 2345 的都卸载了,再把 360 卸载了,这叫驱虎吞狼
|
24
sujin190 2021-04-16 17:56:41 +08:00
不从官网下载?说不定你下的就是个被别人改过的
|
25
qq316107934 2021-04-16 17:57:24 +08:00
想抓到很简单,下个火绒,用火绒剑监控或者自定义规则设置这个目录,有程序读写的时候会自动弹窗,那时候啥妖魔鬼怪都会现形,要是一个正常的 exe,就去遍历他注入的 dll,里面肯定有一个签名不对的。
|
26
ShuoHui 2021-04-16 18:00:12 +08:00 via iPhone
不要用盗版就基本上不会招惹到这个贱东西
|
27
villivateur 2021-04-16 18:05:46 +08:00 via Android
删掉他,建一个只读的同名文件在那里
|
28
gBurnX 2021-04-16 18:07:12 +08:00 1
治理这种顽疾,正确的方法是,安装 360 安全卫士,来卸载流氓软件,以及强行删除残留文件夹。
做完后,把 360 安全卫士删除就行。 如果你能仍受主页被改为 360 导航,那么把 360 安全卫士留在电脑里,我觉得是上策,因为其他流氓就进不来了。 |
29
aguesuka 2021-04-16 18:56:49 +08:00
改文件权限.
|
30
Tumblr 2021-04-16 19:01:33 +08:00
根据楼主描述,感觉像是某些软件给你的 EFI 注入什么东西了,建议用管理员运行 autoruns,看看是否有可疑启动项(程序、服务、驱动等);如果解决不了再去看看 efi 里。
|
31
l00t 2021-04-16 19:10:11 +08:00 2
用了几十年 Windows 了,机器上从来没出现过 2345.
|
32
l00t 2021-04-16 19:10:47 +08:00 2
不如说说你都装了啥“常用软件”
|
33
shyrock 2021-04-16 19:13:24 +08:00
删除该目录,建立同名目录,权限设置为单一用户可修改。然后不要用管理权限登录,这样除非他超越 windows 权限系统提权,没法再同名目录创建内容。
|
34
bilibilifi 2021-04-16 19:16:27 +08:00 via iPhone 1
我觉得出现 2345 和使用习惯好不能同时为真...主力机用 linux 然后虚拟机上 ltsc 吧
|
35
chanssl 2021-04-16 19:31:19 +08:00
C:\Users\USERNAME\AppData 三个文件夹逐一查看,把所有 2345 跟 minipage 等乱七八糟的全部干掉,删除不了的按提示去找到对应服务禁用掉。
|
36
chanssl 2021-04-16 19:31:37 +08:00
然后再删除,一个一个来
|
38
gitopen 2021-04-16 20:10:14 +08:00 1
楼主不要用迅雷下载,下载完 iso 要校验一下 SHA1 ~~~大概率从迅雷下载,被篡改了。。。
|
39
paoqi2048 2021-04-16 20:57:03 +08:00
恶人还需恶人治,有请主角 360 登场👻
|
42
yyyb 2021-04-16 21:02:01 +08:00
重装系统,不装任何国产软件,我不信还有
|
43
Zien 2021-04-16 21:32:49 +08:00 1
讲道理使用习惯好很难有这种现象... 我最近五六年至少没见过什么 2345 弹窗之类的流氓软件了.
最重要的是尽量不使用国产软件, 必须的鹅系的几个, 也不算流氓. 就算使用盗版破解软件也别使用国内破解上传到什么城通百度之类的乱七八糟的东西. 还有就是可以微软直接下载镜像, msdn 已经不复当年了. |
44
Maskeney 2021-04-16 23:30:45 +08:00
自我感觉良好的楼主对众可执行文件说:我这么认真的装你们,你们怎么能给我装 2345 ?
|
45
EarthChild 2021-04-16 23:48:52 +08:00
八成不是进程,可能是服务控制的。
|
46
SM2U 2021-04-17 00:17:48 +08:00
中国商业公司的软件通常是在虚拟机内运行的。 谢谢。
|
47
m4d3bug 2021-04-17 00:21:41 +08:00 via Android
一般都是请 360 来清理 2345,然后再手动卸载 360
|
48
asd192212595 2021-04-17 00:41:08 +08:00
装个 360 国际版试试?
|
49
crab 2021-04-17 00:55:37 +08:00
删除后再创建一个空文件夹并且把权限都去掉。这样对付过 chrome 扫描和 QQ 升级。
|
51
hjq632233317 2021-04-17 08:18:59 +08:00
装完系统直接进设置重置此系统 这之后才是一个干干净净的 win 系统 你下载的镜像没准带了啥
|
52
kokutou 2021-04-17 08:32:23 +08:00
不如说说你都装了啥“常用软件”
|
53
ragnaroks 2021-04-17 08:40:52 +08:00
装火绒,设置这个目录的规则,当有进程尝试操作这个目录你会收到通知,处理完毕后卸载火绒即可
|
54
domodomo 2021-04-17 08:47:41 +08:00
流氓始祖 360 可以干掉它,用完再把 360 卸载了完事……感觉自己像渣男
|
55
whatalittleboy 2021-04-17 09:16:52 +08:00
排查下开机启动软件吧!删掉文件后,试试用 ccleaner 清理下注册表
|
56
ctro15547 2021-04-17 09:18:44 +08:00
把这个文件夹加密了
|
57
testver 2021-04-17 09:18:58 +08:00
说说看你装了那些常用软件,什么版本的,哪里下载的
|
58
580a388da131 2021-04-17 09:32:11 +08:00
很明显 你下载的“常用软件”有问题
|
59
supercaizehua 2021-04-17 09:44:24 +08:00
1. 常用软件列出来、这些软件中有哪些是非官方版(即各种去广告、破解等等)
2. 参考网友们的建议,监控文件夹创建过程 3. 你的尝试排查方式之前,应该先重装一遍系统,还原到最干净的时候 |
60
opentrade 2021-04-17 09:46:21 +08:00 via Android
流氓还得流氓治
|
61
Eytoyes 2021-04-17 10:02:11 +08:00
是不是笔记本电脑
|
62
Lemeng 2021-04-17 10:32:09 +08:00
2345 确实有点流氓,不过一直在用他们的看图软件,还不错,但是也要设置,关掉服务,关掉自动升级,改变升级文件权限,才能彻底杀掉不用它时的后台
|
63
yanlaz 2021-04-17 10:34:49 +08:00
从开机启动的进程排查(逐个禁用测试),可以用 sandboxie 等沙盘环境测试,找到问题就行,不需要重装系统。
从文件看,这个推广软件是没有开始安装的,要特别注意弹窗广告,弹窗了,你就可以顺着进程找到源头了 |
64
xianlu 2021-04-17 10:53:37 +08:00
那就是装软件带的 常用软件使用没问题就备份安装包以后用
|
65
angiie 2021-04-17 11:08:10 +08:00
装个火绒试试呗
|
66
Cu635 2021-04-17 11:10:48 +08:00
|
67
psllll 2021-04-17 11:10:58 +08:00
常用软件是哪些都没说
|
68
lengyihan 2021-04-17 11:23:31 +08:00 via Android
安装 360 解决 2345 。
|
69
fanyingmao 2021-04-17 11:32:24 +08:00
换 mac 就没这些烦心事了,还有吐槽下 win 做开发就是垃圾什么命令都没有,还有 wsl 也是难用。
|
70
swsh007 2021-04-17 11:53:52 +08:00 via Android 1
一般都是各种稀奇古怪的输入法
乱七八糟的工具软件,比如压缩,看图 |
71
way2create 2021-04-17 12:00:34 +08:00
没出现过 一般不乱装东西 之前有人拉我玩那种非要装 flash 的扣扣游戏 我都有点排斥
|
72
fuchunliu 2021-04-17 12:13:40 +08:00 via Android
怎么可能干不掉,装虚拟机偷懒用 Ghost 版里面的 2345 都可以干掉的。
仔细查进程 everything 搜索文件夹,一般这类软件的真正目录在当前用户的文件夹下 c:/users/当前用户 /Appxxx(这个记不清了,反正是一个隐藏文件夹) |
73
imn1 2021-04-17 13:08:48 +08:00
搜“WMITOOL 解决劫持”,步骤有点复杂,文中所列未必和你的系统一样,但理解一下还是能找到恶意脚本的
结合附言,提个醒,某个 win 激活软件带 2345 脚本,国内常见的那个,激活就装上,只要点某些位置的快捷方式就会启动,并不是修改主页那么简单,目测直接点 exe 文件可能不会启动,某些纯 64 位的版本也不会启动,但 32 位或者自检 32/64 的会启动 如果是激活工具带入的,挺难解决的,因为一定时候激活工具要自动重设激活信息,又重新带上了,自己再清理一次 WMI 注入只是其中一种可能,不排除还有其他方式 |
75
cl1107 2021-04-17 13:41:09 +08:00
你的常用软件有问题
|
76
mmdsun 2021-04-17 14:09:16 +08:00
把 C:\Program Files (x86)\2345Soft 路径加入 Windows Defender 防勒索文件 保护里面 创建目录 WD 也会有提示
|
77
gdm 2021-04-17 14:30:01 +08:00
我习惯不好,经常装一些破解来体验完整功能,还有一些 52pj 的人针对某些网站开发的下载工具,都没遇到过 2345
这样看来,习惯不好其实比较好 |
78
Esioner 2021-04-17 14:37:33 +08:00
1. 用的什么下的?如果是迅雷或者百度会不会是镜像被劫持了,你比对一下 md5 看看。
2. 或者可能是某些激活工具、软件自带的?还有一些修改版软件可也需要排查 3. 还有 PE 工具也会在你把镜像刷入 u 盘的时候也会夹带私货 |
79
Biwood 2021-04-17 15:09:19 +08:00
前段时间看到个类似的帖子 https://www.v2ex.com/t/754794
|
80
djv 2021-04-17 15:19:11 +08:00
软件列表大致展示一下
|
81
NGwan 2021-04-17 15:31:30 +08:00
装个英文版系统完事。软件:开源 > store > 正版 > 国外 > 国内. 不用破解软件。
|
82
sixway 2021-04-17 15:55:14 +08:00
|
83
hendry 2021-04-17 16:22:52 +08:00 via Android
2345 真是太狠了,很顽固,顽固的 360 可以消灭,以毒攻毒
|
84
Lightbright 2021-04-17 17:08:58 +08:00 via Android 1
某些软件有驱动级的后台,lz 可以用火绒剑之类的分析工具排查一下
|
85
ns20 2021-04-17 17:40:01 +08:00 via iPhone 1
国内的 flash 卖给了 2345 。从此 flash 更新这个窗口就被 2345 用来弹游戏广告了。
|
86
gathc 2021-04-17 18:08:41 +08:00 via Android
建议直接在 Microsoft 官网下载系统镜像安装
|
87
Thymolblue 2021-04-17 18:48:29 +08:00 1
|
88
guanyin8cnq12 2021-04-17 18:59:23 +08:00 1
不要装国内的一切软件! 尤其是 360 全家桶,腾讯系,阿里系
输入法用原生的 windows office kms 激活 浏览器用 chrome 基本能满足日常办公需求 |
89
Hardrain 2021-04-17 20:05:42 +08:00
重装系统,避免任何中国的软件(自由软件除外)
感觉这有点类似安卓(不是 Android)应用为各种目的附带的 SDK 索要存储权限并乱创建目录 |
91
MYDB 2021-04-17 20:18:04 +08:00 1
@guanyin8cnq12 不能再同意了!我电脑里只有战网是国内的哈哈,而且装的还是可切换国际版的版本,反正我身边游戏朋友都转到 discord 了,所以国产聊天软一个都没装
|
92
MYDB 2021-04-17 20:18:37 +08:00
|
93
hyrious 2021-04-17 21:17:05 +08:00 via Android
直接重装吧,我以前排查它残留的时候在注册表里看到一堆…
|
94
DandelionFlowers 2021-04-17 22:01:40 +08:00 via Android
改文件属性,
|
95
DandelionFlowers 2021-04-17 22:03:54 +08:00 via Android
1 火绒
2 应用程序删掉,在文件夹属性-安全 读写用户全禁了,然后去注册表里搜 2345,相关的全删了。 希望有用... |
96
dianso 2021-04-17 23:05:55 +08:00
好习惯用户表示 9 年没遇到过 2345 了
|
97
shonnliberty 2021-04-17 23:31:36 +08:00 1
UEFI 根本不需要第三方工具啊, 下载 Windows 官方镜像文件校验 SHA256 解压镜像文件到 U 盘就能安装系统了, 根本不需要 PE 连 Rufus 都不需要, 好几年都不用 PE 工具了.
校验工具开源的 GtkHash, 校验速度比其它同类型的要快. https://github.com/tristanheaven/gtkhash/releases |
98
zhangkunkyle 2021-04-18 00:41:24 +08:00
process monitor 监控下,再加上 pchunter 干掉后就行,实在不行检查一下内核驱动有没有 2345 相关的
|
99
jousca 2021-04-18 02:23:49 +08:00
这种时候请出 360 急救箱 ,嘿嘿…… 开启强力模式。驱动型的这种劫持直接就灭掉了。还是老流氓熟悉套路。
|
100
itzamana 2021-04-18 02:45:27 +08:00
2345 浏览器…
用火绒创建自定义防护规则,如图,当有程序创建这个文件夹时应该就有提示了… ![1.png]( https://i.loli.net/2021/04/18/8pEMLxY1QRAVWaC.png) |