遇到最顽固的 2345 首页劫持,网上各种方法都试了

2015-08-19 21:27:46 +08:00
 fanjusting
装了一个百度云的限速破解补丁 然后就中招了。打开所有的游览器( ie chrome 七星 ……)都会被劫持到 http://www.2345.com/?33039 ,劫持的方式没不是在“目标”里面加入网址,但是对游览器改名就正常。通过 process explorer 观察进程 发现命令行中 变成了 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.2345.com/?33039 父进程为空。网上有说是 explorer.exe 的问题 但是直接通过任务管理器打开也还是被劫持 通过软件观察加载的 dll 也没有问题。最后还发现个并发症 hosts 文件失效 在里面加入的内容 ping 的时候根本不是那个 ip (已重启 刷新 dns 缓存)

看来这回遇到高手了
26114 次点击
所在节点    程序员
92 条回复
honeycomb
2015-08-20 19:45:49 +08:00
这种事情可能是驱动级别的病毒
我记得 freebuf 还是乌云好像有提到过这种百度限速补丁为名的病毒
你可以去查看一下

----------------------------
但是最干净的办法是重装
----------------------------
此外,以后遇到这种需要运行未签名(总之就是不可信)软件的时候, sandboxie/虚拟机是个好东西
很多病毒见到虚拟机经常会自行停止运行(它也怕反编译)
tnx2014
2015-08-20 20:00:05 +08:00
@rwalle wap 好像已经限速了吧?你下过 10G 大文件满速?我可是说必须用百度云下的文件,直接解析出地址的不算。
yanfengzi945
2015-08-20 21:42:20 +08:00
我之前也遇到这个问题,网上所有的办法基本都试过了折腾了几天最后用 HitmanPro_x64 这个软件解决了,你可以试试。 软件链接: http://pan.baidu.com/s/1hqF9fEk 密码: ua4b
realpg
2015-08-20 22:25:08 +08:00
驱动钩子,算是比较厚道的只监控指定进程名进行 hook
这样对计算机的综合性能影响小,不会啥也不干 CPU 就 20%,非常厚道了
eirk2004
2015-08-20 23:47:14 +08:00
中毒了,先去装个杀毒软件。再用 ARK 工具(例如 PC Hunter )排查可疑驱动
zhangyh26258
2015-08-21 01:38:19 +08:00
… …建议重装
rwalle
2015-08-21 06:56:26 +08:00
@tnx2014 你有没有看清楚我在说什么。。。
hellozrf
2015-08-21 08:32:20 +08:00
http://zhidao.baidu.com/link?url=WyQLR0DQJkvYHrYmCsD6QayZ5cKIjcqwHx8-QT66cR_hiUMqRC3PHqN6dKuKFPNJXaBr5--llWUBLVDj5idqxA-ikXFNgD2WzNSW5wxlvyK

亲测可行
riverphoenix
2015-08-21 09:15:42 +08:00
应该是改注册表了,前天刚中过百度大礼包的毒,修改注册表就好了
fanjusting
2015-08-21 10:03:13 +08:00
@twitterpig 木有 把游览器改名 暂且用着
fanjusting
2015-08-21 10:05:45 +08:00
@yakczh 没有用 主页被劫持的并发症就是 hosts 文件彻底失效
fanjusting
2015-08-21 10:06:09 +08:00
@iqav 找不到
wuchizhitu1988
2015-08-21 10:09:48 +08:00
不懂为什么要去用这种破解
quericy
2015-08-21 10:15:43 +08:00
油猴有百度云的助手脚本,可以绕过大文件限制而且貌似比 wap 取到的下载地址有时候还快一点,配合 IDM 简直酸爽~~~

@tnx2014 IDM 临时文件夹和下载文件夹在同一个分区大文件就会好很多,或者直接 SSD¬_¬
2015813
2015-08-21 10:18:13 +08:00
修改 hosts , yakcH 的方法有用。
ytf4425
2015-08-21 10:32:48 +08:00
百度云试试一个叫做“百度干净云”的东东,顺便,你能把病毒样本发上来么
fanjusting
2015-08-21 10:42:02 +08:00
@novaeye @Angdo @qian19876025 @novaeye @honeycomb 谢谢大家 真的是驱动的问题 windows\system32\drivers 下多了个 mslmedia.sys 对应的注册表服务也有这个服务 删掉之后 世界顿时清净了 http://zhidao.baidu.com/question/873890343675646492.html?fr=iks&word=Mslmedia.sys&ie=gbk 大家以后可以参考
LightQuantum
2015-08-21 10:49:32 +08:00
好坑啊 2345 学会驱动了!一个流氓软件写驱动!真不要脸
rootsir
2015-08-21 11:06:46 +08:00
来浦东软件园 找 2345 他们解决问题
JackDong
2015-08-21 11:39:38 +08:00
额....之前金山绑定主页以毒攻毒弄好了,毒霸的绑定主页防止恶意更改还是有点用的。虽然国内这些真的很讨厌。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://tanronggui.xyz/t/214388

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX