电脑所有浏览器的启动页面都被篡改成了很流氓的hao334导航

原创 创建时间:2018-12-13 访问量:176 赞:1 踩:0

以下说文不针对任何互联网软件产品,只是描述事实现象:

近日不知道怎的电脑无故就下载了电脑管家,我平时都用360的,而且针对网上的所有链接的点击本人都是小心翼翼的,安装软件也都会检查是否有捆绑。这个管家不知怎的就被安装在我的电脑上了,不是说管家不好,只是平时习惯了360安全软件。这个事先放一边。有可能是别的木马程序下载这个木马同时,也下了电脑管家。

自从电脑管家安装后,电脑所有浏览器的启动页面(不是首页)都被篡改成了http://123.hao334.com/?AA01_001。知道一个有洁癖的人有多不爽吗?然后就开始了漫长的修复之路。

被篡改成下面的页面:


贴图不是广告,这是恨[泪]

第一、我首先卸载了电脑管家,重新用回360,发现并没有什么鸟用。

第二、用360主页锁定,再用木马查杀,再用浏览器修复工具修复,如下所示:


360主页锁定是正常的。


浏览器主页也是正常的。IE选项也是正常的。


快捷方式也是正常的。


360木马扫描也是正常的。强力模式,呵呵,说真话,还真没试,大家可以试试,不行再往下看。


注册表扫描hao334居然都找不到。

第三、使用Process Hacker工具进行查看情况。

下载地址:http://www.glxxw2018.com/study/res/detail/7wVu0VdaYO.html

下载完成后安装运行:


启动浏览器,我这里使用的是360安全浏览器,找到360se.exe,右键选择properties(属性),如下图所示:


在Command line一栏中找到了启动页面:123.hao334.com,这么搞。这还不能删除。之前看到快捷方式后并没有这个链接参数的。

第四、尝试各种解决方法,无果

使用网上所说的各种工具如AdwCleanner(千万别用),删除注册表Mslmedia(根本没有)或使用WMI tools工具什么的通通都不行。注意:网上所有方法都试遍了都不行的。

注意:这里是原创:http://www.glxxw2018.com/study/blog/detail/g1vVysQ6vd.html

第五、自己尝试漫长的木马探索之路

综上所述,病毒并不是静态的修改浏览器的启动页的,因为浏览器的快捷方式、包括注册表所有地方都找不到hao334这个字眼。因此,它应该有一个服务,动态监控浏览器程序的启动进程如“C:\Users\Oscar\AppData\Roaming\360se6\Application\360se.exe”,然后将此进程杀死,再以"C:\Users\Oscar\AppData\Roaming\360se6\Application\360se.exe   123.hao334.com/?AA01_001"形式重新启动浏览器进程,这么一说,大家都明白这个木马的工作原理了吧,想到这种方式的程序员,我想呼死他!不过站在他的角度来说确实是个好方法,从另一方面来说,挺佩服的。而且,这个木马病毒程序内部应该是固定写死了一般常用浏览器的安装路径与程序名称,为什么这么说,你把360se.exe改个名称,它就拦截不到了,我试过,用IE Edge浏览它也是不行的。虽然这样也可以将就着使用,但是系统中毕竟有木马。还得继续找。

然后,针对上述的猜想,我就开始了漫长的系统服务监示查找特殊名称的服务,结果,皇天不负有心人,我找到了一个可疑的服务,利用Process Hacker工具找的,系统服务里是找不到的,它的名字叫作kI0fP5uL。这个名称为什么引起我的注意,因为这个名称一看就是个随机字符串,没有其它服务名称看起来这么有规律,而且百度也找不到这个名称的服务,呵呵,初步确定就它了,它就是木马。可惜,试遍了杀毒工具就是检测不到。这个服务的位置在C:\Windows\System32\drivers目录下,文件名称为kI0fP5uL.sys。然后我就要将这个服务停止掉。

悲剧来了,这个服务你根法无法停止,强制停止会出现蓝屏[生病]。然后,想删除掉kI0fP5uL.sys这个文件,根本无法删除。再者,把注册表中的\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\路径下的kI0fP5uL目录删除掉,重启后你会发现,这个目录又会长出来,kI0fP5uL.sys还是删除不掉。

最后,只能借助WinPE系统了,先在原Win10系统中,把注册表中的kI0fP5uL目录删除,或者使用sc delete kI0fP5uL删除这个木马服务(以管理员身份启动cmd),然后,重启系统进入U盘中的WinPE系统,把kI0fP5uL.sys文件删除,再重启系统,此时因为你删除的是.sys系统文件,所以系统要对每个盘进行扫描修复,扫描完成后,进入系统,启动浏览器就是正常的www.baidu.com首页,心情激动不已!!![挤眼]

注意:由于木马服务的名称是个随机字符串,所以你们的服务可能是另一个名称,不一定会是kI0fP5uL名称,但是本质上还是随机字符串的,所以,可以按这个方法查找。为了避免系统启动不了,先将这个服务的注册表目录导出备份一下,kI0fP5uL.sys文件备份一下,regedit.exe与SysWOW64下的regedit.exe与regedit32.exe也都备份一下,尽量备份到外部存储,比如U盘,在系统扫描的时候拔除。否则,有可能还会出来的。至此木马查杀之路就结束了!!!

尽情享受无木马干净的上网环境吧![舔屏][舔屏][舔屏]



更多关于电脑所有浏览器的启动页面都被篡改成了很流氓的hao334导航请访问:
相关资源列表:
更多资源请访问:
评论
 我想说:
==已经到底了==
关注: 粉丝: 积分:
工联信息网
如有问题请致邮箱:need@glxxw2018.com(仅限本站无法查询到的资料);本站能够查询到的资料请关注“工联信息网”公众号,通过页面提供的资源码查询!
不良信息反馈及侵权投诉建议请致邮箱:accusation@glxxw2018.com