chrome主页被劫持,每天⾸次打开chrome都会进⼊2345的界⾯被2345篡改主页,启动项、注册表、快捷⽅式都查了,WINDOWS清理助⼿、360都没法!
⽹上搜索,发现现在是加载expoler钩⼦DLL了,⽤⽕绒剑查加载的DLL,排查出来,总算安静了。
guardapi.dll杀毒软件还认得到,acfow.dll这个就只有F-port。
默认排序?
王⾦耀
王⾦耀
好单机游戏,做软件测试
77 ⼈赞同了该回答
---------2016-3-3更新如下----------
⼀、建议遇到此问题的⼤家先⽤杀毒软件扫描C盘,不要使⽤半吊⼦的360、电脑管家和我以前有提到的⽕绒,也不要使⽤国内流氓的杀毒软件如瑞星、毒霸等,建议⽤卡巴斯基等收费杀毒软件(可以试⽤的)
原因在于:
1.我的电脑之前通过如下⽅法解决了⾸页被劫持问题后,没有杀毒,今天杀毒杀到两个⽊马。
2.劫持⾸页已经是⿊产的⼀部分了,因为有利可图所以有⽆数⼈变着法地劫持,道⾼⼀尺魔⾼⼀丈,已经出现专为劫持⾸页的病毒,我们不知道除了这个表⾯的劫持动作外是否还有后台的其他动作。
⼆、如果⼀定要⾃⼰动⼿,建议不要⽤半吊⼦的⽅法来查杀,直接看这个解答为什么 Chrome 浏览器的主页会被篡改为 hao123 ?遇到这种情况需要如何进⾏修复? - dll 其他⽅法包括我的⽅法基本都是治标不治本的,⽽且⼤家的现象都不太⼀样。另外这个回答⾥提到的⼯具⼤部分是微软官⽅可以到的。
---------2015-5-5更新如下----------
更新利⽤⾃启动劫持的情况,现象有:
1.浏览器被⾃动添加到快速启动栏(或桌⾯)并被修改主页,删除快速启动栏图标重启电脑后⽆效。
2.浏览器只在第⼀次启动时打开特定页⾯,其余时候表现正常。
原因是:劫持者使⽤系统任务计划或者⾃启动程序,在开机或其他特定时间启动劫持程序(⼀般是批处理,也可能是注册⼀个服务来完成劫持)。劫持程序可能会在运⾏后删除⾃⾝以防⽌被发现,也可能运⾏后⽣成另⼀个劫持程序进⾏劫持操作防⽌被发现(我都遇到了 )。
解决办法:1.运⾏msconfig,到系统⾃启动项,禁⽤陌⽣的⾃启动项。都陌⽣的,请禁⽤全部⾃启动项,如果解决了再⼀次解禁⼀部分⾃启动项来定位有问题的⾃启动项。
2.运⾏taskschd.msc打开任务计划程序,定位问题⽅法同上。
3.如果是被注册成系统服务的,请⽤杀毒软件查杀,⾃⼰如果查错了可能会造成很⿇烦的后果。想⾃⼰动⼿的注意查看服务项名称重复的和服务项介绍很少的,劫持⾸页的服务项会伪装成系统原⽣服务。
4.如果有⼀个好⼯具,请直接监视系统⽬录全部改动,直接定位到劫持程序的位置删除之。
---------原答案如下----------
刚刚解决了这个问题,多谢
@空⽉
提供的链接,多谢⼤神
@想了好久
在另⼀个问题⾥提供的答案,问题是 chrome 主页被篡改为hao123?技术宅带你层层深⼊破之 - dll 。这⾥已经讲得很清楚了,我只是按照这⾥的原理提供⼀个⼤家看得懂的解决⽅案。
解决的问题是:Chrome IE Firefox或者其它浏览器⾸页被篡改且⽆法通过修改主页的⽅式修改回来。
解决步骤:
有⼀部分⼈只是桌⾯的快捷⽅式被篡改,请右键桌⾯上的快捷⽅式查到⽂件的安装⽬录,尝试从安装⽬录双击启动浏览器,如果⾸页正常说明是快捷⽅式的问题,删掉快捷⽅式重新⽣成⼀个快捷⽅式到桌⾯就解决了。
如果上述未解决,请尝试从任务管理器⾥⾯运⾏浏览器程序,如果⾸页仍然被修改说明浏览器程序有问题,建议重新安装。
如果⽤任务管理器运⾏后⾸页就恢复正常了,说明问题很可能跟explorer进程有关,那么先看C:\Windows下⾯的程序有⽆异常,⽐如修改⽇期是否异常,有问题的话建议相同系统的电脑上拷贝⼀个⽂件,或者直接重装系统。
如果也⽆问题,那么看进程钩⼦有⽆异常,⼀般是DLL⽂件出问题,不⽤会看代码什么的,我是⽤⽕绒软件⾥⾯的“⽕绒剑”功能查看的,⽤钩⼦扫描扫描进程,我在⽬标位置这⼀栏会有⼀条指向2345.lc⽂件的,按着这个路径在电脑到这个⽂件并删除即可。
个⽂件并删除即可
如果以上都未解决,那么看有没有奇怪的⾃启动项,或者是奇怪的进程,禁⽤或关闭后试试。
知乎⽤户
24 ⼈赞同了该回答
前⼏天刚中了⼀招,⽴刻修改了Chrome主页设置和注册表,但直到今天才得以真正解决。打开桌⾯上的Chrome快捷⽅式没有问题,但是⼯具栏的快捷⽅式反复解锁、锁定,打开都是2345⽹址导航流氓主页。最后的解决⽅法是:1.搜索“quick launch”关键字,到修改时间最新的⽂件夹,进去发现正常快捷⽅式被隐藏,鸠占鹊巢的是修改过的lnk。不⽤说,直接删掉恶意⽂件,恢复旧主。2.开始菜单记忆的常⽤lnk也被恶意修改。想改回来,发现没有权限,懒得再弄,直接删掉。3.重新搜索chrome.lnk,发现反复解锁、锁定时留下不少余孽,删掉。4,修改hosts和防⽕墙设置,永绝后患。
归纳起来,2345的流氓技术主要有如下⼀些:
1.修改注册表、lnk⽂件,这个众⼈应该都⽐较熟悉了,仔细清理⽆遗漏即可;
2.WMI列表驻留,算是⾼级⼿段,但被讨论的次数不少了,⽆需多说;
3.修改Chrome扩展中的js脚本,注⼊恶意内容;中招者有必要注意"Users\⽤户名\AppData\Local\Google\Chrome\User
Data\Default\Extensions"⽂件夹,⾥⾯都是扩展,每个扩展⽂件夹内(包括⼦⽂件夹)的所有background.js⽂件都要仔细检查,被注⼊了恶意代码的扩展最好重装。
有微软的⼯程师说过,2345的⼿段⽐较隐蔽,只有在Win操作系统安全机制有明显改进的情况下才可能真正受到抑制。所以我觉得,多借助系统的权限控制、安全软件的不受欢迎程序检测功能、HIPS软件等强⼒⼿段,才能真正打死这只过街⽼⿏。
==========================================================================
⼈蠢是没有办法治的。昨天晚上下载⼀本电⼦书,NOD32没有任何反应的情况下,桌⾯突然多出了⼀个"淘宝⽹.exe",系统托盘出现“2345在线安装⼯具”的提⽰,于是明⽩竟然⼜掉坑⾥了,所以还是有必要补充⼀点。
@王⾦耀
朋友回答的启发下,将重命名为1.exe,打开后主页是⾃⼰设置的baidu,于是判断,这次问题也可能出在隐藏的病毒⽂件上。使⽤Process Explorer对进⾏查看,发现这些流氓⽹站还是喜欢互相借鉴的:
对于Win10 64位系统,Ollydbg的运⾏似乎有些问题,于是指望不上它来寻凶⼿了。那么,如何
才能看穿流氓所做的⼀切呢?在线程序⾏为分析是个好东西,借助于⾦⼭⽕眼,对昨天下载的“exe电⼦书”进⾏检测,答主发现该程序在系统内创建了⼀堆⽂件:
经过系统内的搜索,答主发现系统⽬录下的其它⽂件要么已经不存在,要么并不是由该程序创建,内容也⽆可疑之处(那⼏个inf⽂件),只余那个MsImedia.sys驱动程序;⾄于临时⽂件,答主直接Ctrl+A,Shift+Del,⼀概清理。
到这个MsImedia.sys之后,⾸先赋于admin⽤户组完全控制的权限,然后删除,提⽰正被被system使⽤;于是,借助于Autoruns这款⼯具,在“驱动”选项卡到该项⽬,右键删除;重启后,主页恢复正常。删掉这个恶魔的本体之前,再看看其丑陋的⾯⽬吧:
伪装的很像是系统⽂件?我是Win10系统,怎么会有你Win7的⾃带驱动?另外,创建时间是很难改的。
以上才是这个程序的主⼦,祝你们早⽇倒闭。
119 个回答
默认排序?
想了好久
想了好久
想了好久还没想好
1,007 ⼈赞同了该回答
<⼀> 缩⼩包围圈
1、chrome设置?
createprocessa
对chrome中的启动时、外观属性都进⾏了修改,仍然没有解决问题。
2、快捷⽅式中添加了参数?
发现不管是从桌⾯快捷⽅式还是直接点击exe⽂件,chrome主页都被篡改。这就排除了是在桌⾯快捷⽅式中的⽬标栏中添加了hao123⽹址的缘故。哎,查看⼀下桌⾯chrome快捷⽅式不就得了,整的这麽⿇烦。囧。
3、被篡改或者chrome配置⽂件被修改?
将chrome的配置⽂件和可执⾏⽂件⼀同拷贝到虚拟机中,擦,在虚拟机中就没问题。说明问题不在chrome⾝上。
那会是什么问题呢?⼭重⽔复疑⽆路,柳暗花明⼜⼀村。转折来了,将重新命名后,再打开浏览器,主页就是设置的
<⼆>我要看代码
1.  先上第⼀个利刃,microsoft旗下的Process Explorer。
查看的主进程信息如下,亮点就在下图中。
⼩伙伴们⼀定看到了Command line下⾯的编辑框⾥有我们久违的流氓url吧。这个Comand
line是什么东东?
Windows下常见的创建进程的api就是CreateProcess,这个函数申明如下。
现在的问题就是这个command line是谁传递给进程的?弄清楚这个问题之前,先要搞清楚,windows下,双击或者右键打开应⽤程序时,该应⽤程序进程是谁创建的?查阅资料发现,通过双击或者右键打开的应⽤程序进程都是由这个进程调⽤CreateProcess创建的。那么,我们的流氓url Command line 就⼀定是传递给。看来有问题了。测试⼀下,通过任务管理器中的创建新任务的⽅式启动chrome就没有流氓导航了。但是通过和虚拟机中的⽂件对⽐,发现主机和虚拟机中的两个⽂件完全相同。Exe运⾏时不光要加载⾃⾝的.exe程序⽂件,还要依赖⼀些动态库dll。是不是dll有问题。利刃2上场。
2、ollydbg闪亮上场。
⽤od加载运⾏,查看所依赖的dll。
看到有⼏个可疑的⾮系统dll,QvodExtend.dll,
QvodWebBase.dll,按理说是不会依赖⾮系统dll的。想起来,⽹上说的卸载Qvod可以解决问题。这个怎么能说卸就卸呢?万万不可以的。
问题肯定是在调⽤CreateProcess之前出现的,在当前模块中查调⽤CreateProcess的地⽅,⼀共有四个点,全部设置断点,然后调试进程?当然时调试失败了。~~~~(>_<)~~~~
但是重新加载运⾏,然后查看kernel32.dll的CreateProcess的代码发现了重要的问题。
下图就是kernel32.dll中的CreateProcess代码,不是说好了的CreateProcess将调⽤CreateProcessInternalW吗?这⼉怎么上来直接jmp    QvodWebB.10008B90?QvodWebB你要闹啥啊
看看下⾯这个正版的CreateProcess吧。
⾄此,整个流程⼤致出来了。QvodWebBase.dll将kernel32.dll的CreateProcessW代码的前5个字节改为了⼀条jmp指令,改变了CreateProcess的正常执⾏流程。实际上,CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注⼊了相应的跳转指令。
<;三>深⼊巢⽳
QvodWeb如何随加载,QvodExtend.dll, QvodWebBase.dll到底都做了些什么?先mark,后⾯接着整。
1.先看看QvodExtend.dll, QvodWebBase.dll都导出了些什么函数。
下⾯是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩⼦函数。
同时,⽤IceSword扫描时发现,QvodExtend.dll还是个BHO。
同时,测试发现如果将QvodExtend.dll重命名后,就不会出现主页被篡改,同时也不会有QvodExtend.dll和QvodWebBase.dll模块。由此可以推断,QvodExtend.dll随或者启动时,会向系统注册QvodWebBase.dll中的钩⼦函数,接着再是加载QvodWebBase.dll时,该dll的DLLMain⼊⼝函数会向当前进程注⼊Jmp指令。
反汇编QvodExtend.dll代码可以发现,注册QvodWebBase.dll中的钩⼦函数的代码
⾄此,整个过程告⼀段落。
解决办法就是删除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道会不会影响qvod,⽬前不得⽽知。
----------------------------------------------分割线------------------------------------------------------------------------------
QvodExtend.dll在其dll_main函数中,判断当前的模块是或者,若两者都不是则退出;否则读取qvod安装⽬录下的QvodCfg.ini⽂件获取
QvodWebBase的版本号,到 QvodWebBase.dll后调⽤LoadLibrary加载该模块(加载过程中会向CreteProcessA/W中注⼊代码,这个代码就是在CreateProcessInteralA调⽤之前修改comand line参数),接着调⽤GetProcAddress获得
QvodWebBase安装钩⼦的导出函数installwindowshook,并执⾏该函数,该钩⼦的类型是WM_CBT。整体流程就是这样。
----------------------------------------------分割线------------------------------------------------------------------------------
该实验的软件版本是QvodPlayer5.17.152.0,⽬前在最新版本中该问题已经解决。
Jim Liu
Jim Liu
JavaScript 话题的优秀回答者
70 ⼈赞同了该回答
这是⼀种(我见过)⽐较新的劫持浏览器⾸页的⽅式了。它在上注册了⼀个钩⼦,然后劫持了主流浏览器的.exe⽂件名,当启动这些浏览器的exe的时候就⾃动带⼀个参数——通常浏览器的主程序都⽀持通过参数直接打开某个页⾯。
于是会发现浏览器设置⾥⾯并没有修改主页,但是还是被劫持了。
⽽且它其实很智障,把浏览器的exe改个名字就不会被它勾住了。
是不是这种劫持⽅式有⼀个很简单的判断⽅法,通过⼀个任务管理器(如果系统⾃带的不⾏,那就⽤),到 主进程(可以按树状⽅式查看进程,很容易到主程序是哪个进程),可以右键查看它的启动参数,如果后⾯跟了流氓⽹站,那就是这种劫持⽅式了。
遇到过2次了,第⼀次稀⾥糊涂的解决了,第⼆次到了解决路径。
⼤概就是⽤了⼀个⼯具(好像是⽕绒xxxxx吧),查看了被哪些dll注册了钩⼦,然后⼀眼就看出来其中⼀个是某恶意软件的,把那个dll到以后删掉就⾏了,顺便还可以通过dll的路径和⽂件名判断⼀下是哪家的软件搞的⿁。我两次都是迅雷,⼝亨。
  近⽇,互联⽹上⼜掀起了⼀阵新型的浏览器劫持事件。同其它劫持浏览器的病毒⼀样,该病毒也会恶
意篡改中毒电脑的浏览器⾸页。但是与其它同类病毒不同的是,该病毒并不是在IE属性中篡改浏览器主页,⽽是当受害者打开浏览器时直接重启进程将浏览器⾸页跳转⾄病毒预设的导航⽹站,且导航⽹站多变不固定。由于该病毒是驱动级兼注⼊型病毒,所以杀毒软件查不到任何危险程序以及可疑启动项⽬。
病毒名称:“百变导航”病毒;
病毒类型:恶意推⼴程序;
危害等级:★★★
危害平台:Windows 系统;
⾸发⽇期:2016年4⽉;
病毒传播:
  “百变导航”病毒主要通过“病毒下载器”或“⽹站挂马”进⾏传播,对长期未更新杀毒软件的电脑感染⼏率更⼤。该病毒⼊侵受害者计算机后,⾸先会在“C:\WINDOWS\system32”⽬录下创建⼀个名为“MsslnthalEs.dll”的病毒动态链接库,并在注册表中为其创建随机启动的隐

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。