浏览器主页劫持，打开就访问889hao，2345导航（已解决）

RT，前几天碰到了台电脑，打开浏览器就劫持访问889hao。

系统是win10 x64，浏览器是360安全浏览器、IE浏览器，其他没装不清楚。

按以往经验，逐一排查：

检查浏览器主页设置，设百度为首页。主页已经是百度，但是打开浏览器还是访问889hao，点主页按钮正常访问百度。
重置浏览器设置，还是一样。
检查了浏览器快捷方式，没有网址尾巴。
检查了注册表的主页设置项，正常。
检查了代理设置，hosts，本地连接dns设置，都正常。
修复了lsp，重置winsock，依旧劫持。
用360安全卫士锁定主页，打开浏览器还是访问889hao。
卸载，官网重新下载安装360安全浏览器，还是不行。

想起还有命令行参数可以做手脚，打开任务管理器进程列表，右击勾选命令行（或者cmd下wmic，process）。看到浏览器进程的启动参数为889hao的网址。
然后检查了注册表的.exe和exefile项，参数正常。这样看来只可能中毒了。

接着做了些测试：

打开浏览器目录，直接双击打开浏览器主程序，依旧劫持。
改浏览器主程序名字，打开正常访问首页，没浏览器劫持了。
打开cmd，cd到浏览器目录，输入iexplore.exe，打开IE，正常访问首页。同理用任务管理器的新建任务打开，也正常访问首页，没有劫持

根据上面测试，猜测病毒劫持了explorer.exe，用explorer.exe打开浏览器就会被加网址参数运行。
然后尝试复制cmd.exe到浏览器目录，改名为explorer.exe，双击打开，输入iexplore.exe访问，劫持。改回原名，正常。

所以确定有病毒，根据进程名劫持了explorer.exe！

下载Autoruns，Pchunter。

检查所有启动项，优先检查了驱动和服务，wmi，正常。
Pchunter里的驱动、服务、内核、内核钩子、进程钩子等等，每个选项都仔细看一遍了，没发现可疑的。注：当时可能没注意到有两个ACPI.sys，特征之一。
查看explorer.exe的加载模块正常，包括cmd.exe改名的也一样。
注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services下，没找到可疑项。
打开C:\Windows\System32\drivers目录，也看不到异常文件（已显示系统文件和隐藏文件了）。
无解，尝试下载杀毒软件。
小红伞、nod32、火绒。扫描了一遍没发现异常。
装火绒时，勾选了IE保护，打开IE浏览器也一样劫持。其中火绒剑初始化异常。
下载了360急救箱、火绒恶意木马专、Malwarebytes Anti-Rootkit都没查到什么，pe下360急救箱也没查到。
mbr、bcd也检查过了，正常。
下载了卡巴斯基，安装时提示系统被病毒感染无法安装。

后来，看了火绒的安全播报，发现现在很多驱动级隐藏自我保护的病毒。想起还没用Pchunter的注册表编辑器。

打开Pchunter，切换到注册表选项卡，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services，一看果然发现了个项目，976e474f5e。一看就很可疑。
切换到Pchunter的文件选项卡，查看windows\system32\drivers目录，也发现了976e474f5e文件。
但是Pchunter的驱动选项卡里看不到这个驱动！系统的注册表编辑器里也看不到这个！Pchunter内核、内核钩子、进程钩子等等，每个选项卡，每个项都仔细看过了，也看不到这个文件。

于是Pchunter删除976e474f5e注册表项和文件，重启。打开pchunter查看还有这个的注册表项和文件，依旧劫持主页。
可能有自我保护。装了个微pe，在pe里删除了这个文件，重启电脑，恢复正常了，正常访问百度首页。
觉得残留注册表项碍事的话，可以管理员运行cmd，输入sc delete 976e474f5e删除残留项，根据自己电脑上木马驱动名字改。

考虑到别的网友可能遇到这问题，但是文件名可能不一样，或者无法运行pchunter之类的。下面给几个可能有用的判断方法。

首先装个微PE到系统上。

重启，方向键下选择微pe工具箱进入，拷贝C:\Windows\System32\drivers到d:\drivers。再重启进入正常系统，用杀软扫描d:\drivers，指不定能检查出什么。
进入pe，复制C:\Windows\System32\config下的system到d:\system。重启进入系统，下载Windows Registry Recovery（简称WRR），打开d:\system文件，
Raw Data，展开ControlSet001\services，查看其下所有项目，尤其注意随机数和字母组合的项，而且对应ImagePath文件没有.sys后缀的，很大可能病毒。
也可以直接系统注册表下看，考虑到病毒有不同版本，有的系统下还是能看到注册表项的。
3.用360急救箱强力模式查杀（必须联网云查），下载安装360系统急救盘启动扫描。官网是u盘版，论坛里有直接本机安装的。

感谢网友@微笑@提供的样本。如下，没有.sys后缀，为了方便查看而已：

软件加壳了，又是驱动程序，不好分析。在卡饭发了样本

浏览器主页劫持，打开就访问889hao，2345导航（已解决）相关推荐

打开一个浏览器跳转到2345浏览器主页这里以Google为例亲测已解决。
打开一个浏览器跳转到2345浏览器主页这里以Google为例亲测已解决. 1,打开浏览器,找到设置. 2,在设置里边找到代理设置点开. 3,点开常规,将方框内箭头位置的2345浏览器主页换成 ...
2345浏览器网址_2345网址导航回应“浏览器主页劫持”丨开发者日报
1.2345网址导航回应"浏览器主页劫持" "浏览器主页被2345劫持怎么解决?""如何解决浏览器被2345主页劫持的问题?"--在网民吐槽 ...
谷歌浏览器主页被强制更改_你遇到过“浏览器主页劫持”、“流量劫持”的情况吗？...
随着互联网治理的深入,网络环境在逐步改善.但据用户最近的反映和记者的调查,"浏览器主页劫持"."流量劫持"等现象依然猖獗,损害着广大网民的权益.在复杂的互联网技 ...
qq浏览器主页_讨论|360、金山毒霸、浏览器主页劫持
说起浏览器主页劫持,大家肯定不陌生了. 自己明明没有设置浏览器主页,在安装某些特别软件后,打开浏览器却发现默认主页更头换面,成了其他网站. 对那些不懂点技术的普通网民来说,想重新设置浏览器主页,简直就 ...
极客头条 | 5月13日科技要闻：人民日报调查“浏览器主页劫持”；CEO 回应小霸王游戏机团队解散；陌陌暂时关闭动态发布功能
「CSDN 极客头条」,是从 CSDN 网站延伸至官方微信公众号的特别栏目,专注于一天业界事报道.风里雨里,我们将每天为朋友们,播报最新鲜有料的新闻资讯,让所有技术人,时刻紧跟业界潮流. 快讯速知人 ...
最简单的解决Chrome浏览器主页被hao123、360和2345篡改的方法是什么
最简单的解决Chrome浏览器主页被hao123.360和2345篡改的方法是什么参考文章: (1)最简单的解决Chrome浏览器主页被hao123.360和2345篡改的方法是什么 (2)http ...
浏览器主页劫持的解决办法
win7系统下IE浏览器主页被360/2345劫持了,已经不是原来的IE界面了,怎么修改都没办法恢复,怎么办呢?出现这样的情况一般是系统中植入了恶意软件或者系统设置不当造成的.下面给大家分享解决方法. ...
浏览器被劫持打开变成hao123 和 vs CODE编译器无法打开浏览器问题
背景: 这两天碰到一个非常头疼的问题,起因是这样的: 因为电脑的win10教育版系统激活过期. 于是在网上找了个免费破解软件,激活完后发现它把我电脑上所有的浏览器都改了主页,无论是火狐还是谷歌, 打开 ...
解决关闭浏览器后再打开，访问网站仍然自动登陆的问题
情况描述: 今天被授权以管理员身份登录管理系统,录入一些信息,但因为Chrome设置的是保存Cookie,并且先登录了自己的账号,所以即便关掉浏览器再打开,仍然是以自己的账号自动登录,而页面的注销按钮 ...

浏览器主页劫持，打开就访问889hao，2345导航（已解决）

浏览器主页劫持，打开就访问889hao，2345导航（已解决）相关推荐

最新文章

热门文章