不請自來,因為被這個問題搞得實在是火大,本來我已經用MAC多年,很少再遇到這類事情,只是某天在win7虛擬機裏突然發現主頁怎麼被設成hao643了,我的習慣都是要麼空白頁要麼設成http://google.com,本著不能姑息縱容這種惡意行為的原則決定剷除之。接下來就是我的滅殺過程。

一開始照經驗先去看ie的快捷方式,桌面和啟動菜單右鍵-&>屬性一看,

果然在這,毫不猶豫地幹掉,然後打開ie一看,確實是改回來了,然後是360極速,這貨快捷方式沒問題,然後查看設置,咦,明明是設置的空白頁,怎麼回事。到這我以往的經驗不夠用了,沒辦法下載個360試試,查殺一遍,沒有病毒,沒有惡意軟體,用360的強力鎖定主頁試試,一試果然有效,我以為事情結束了。

過了一段時間回來,發現主頁怎麼變成360的了,尼瑪,以為請了個神回來,結果是另一個病毒?正在暗罵360怎麼也是如此無恥之時,突然這時有個彈窗出來,彈窗我沒截圖,大意是C:Windowssystem32wbemscrcons.exe正試圖修改瀏覽器主頁,然後360有個倒計時,30秒自動阻止並且把主頁設為360,這裡吐糟下360,比較潔身自好的做法不是應該阻止修改並維持當前的主頁設置嗎,你這自作主張地把自己替上去跟hao123有何區別。回到正題,知道是哪個程序在搞事就好辦了,網上查閱相關資料,得知原理是利用系統的scrcons.exe定時執行腳本達到修改主頁的目的,怪不得一時改回來了,過一段時間又會被篡改。好既然如此那就對症下藥。

首先去下載一個工具,叫做WMI tools(這裡有),安裝後打開WMI Event Viewer,

在如下窗口中選擇Register for events

填入rootCIMV2

OK-&>OK

然後進入到下面這個界面,右擊它,選擇View instance properties

可以看到它是一段vbscript

我們可以複製出Script Text看看它到底幹了啥

就是它,果然有hao643,把各種聽過的沒聽過的瀏覽器都幹了個遍,接下來怎麼殺它?

我們關掉剛剛的小窗口,回到這裡

點X殺掉,如果不行的話,用管理員模式啟動WMI Event Viewer再試試。最後別忘了再去快捷方式裏確認下。

希望對你有用

這個問題,沒有標準答案。

hao123有一個推廣聯盟,訪問hao123後面跟著某個id做參數,那個id的所有人就能拿到幾分/幾毛錢(我不知道價格,沒試過),像你說的那個,就是下文中描述的「網址站跳轉合作」之一,他的id是93288632。

https://www.hao123.com/?tn=93288632_hao_pg

所以就有人拚命寫病毒綁架主頁,啟動項服務項驅動對抗直接綁架Ring0,都有過。

而且各人的手段都不一樣。

這也就決定了沒有一種辦法可以一勞永逸地解決hao123劫持主頁,因為劫持你主頁的不是hao123,而是無數心術不正又技藝高超的程序員。

360的hao360導航劫持和2345導航劫持也是這麼一回事。

這兩天換診室,診室的電腦是未激活的,找了個軟體來激活,結果問題就來了。瀏覽器(不管是IE還是Chrome)一打開就自動進入hao123。單位的電腦,也不好重裝。我又潔癖,跟這個問題懟了兩天,嘗試了各種方法。

瀏覽器快捷方式被加了尾巴,刪了沒用,過一陣子或者重啟又重新出現了。在註冊表裡搜這個網址,搜到的項目統統刪除,也沒用。最後,安裝了火絨,全盤殺毒。

然後把火絨的所有監控打開,重啟。果然有個提示:

按照路徑,刪無赦!

目前來看,是沒有問題了。一看火絨也可以修復系統漏洞,立馬把某管家給卸掉(裝它就是為了修補系統漏洞)。

然而,下面纔是我這個回答的重點:難道就這麼讓它白白折騰我兩天?這成本也太低了吧?

網上搜「公安部 計算機 舉報」,找到一個網站:網路違法犯罪舉報網站,網址:http://www.cyberpolice.cn/wfjb/

立馬舉報

我知道這樣的舉報很可能結局是石沉大海,但是如果十個人,一百個人,一千個人一起舉報呢?死磕才能進步。希望大家在解決問題之餘花幾分鐘去舉報一下,萬一有用呢。別忘了你是納稅人,不用白不用。

————————

補充一下舉報結果,呵呵呵。

檢查一下系統鉤子或者explorer載入的dll

可以用火絨劍(利益無關 只是這個是國產的比較好用的)工具檢查一下

把內核 鉤子這些頁面全部(所有選項卡)檢查一下,有看著奇怪的(火絨劍會顯示數字簽名狀態,紅色的值得懷疑 有數字簽名的檢查一下數字簽名的來源)求證,確認有問題的話進安全模式幹掉。

然後再在進程那裡檢查一下explorer.exe有沒有奇怪的dll 可能是什麼系統文件被修改了(不知道這個算不算病毒行為)

如果能夠找到感染源文件的話,在監控下再運行一遍,按照記錄消除影響

主頁被劫持的情況經常出現,有的是裝了流氓軟體被改主頁,有的是用windows激活軟體等被改主頁,收集了幾個解決辦法:

1、檢查chrome和IE等圖標,右鍵屬性-快捷方式- 目標 如果是這樣的「C:Program Files (x86)GoogleChromeApplicationchrome.exe」 http://www.hao123.com 把後面的刪除就可以了2、看下目錄下的chrome是否啟動方式後綴名加了hao123 Start Menu下的 C:ProgramDataMicrosoftWindowsStart MenuPrograms3、任務欄下的圖標,有一次發現就是任務欄下的被改了 ,目錄如下 C:Users你的電腦名AppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar

右鍵查看屬性,若目標後面有hao123刪了就行了

4、運行msconfig,找到系統自啟動項,禁用陌生的自啟動項。都陌生的,請禁用全部自啟動項,如果解決了再一次解禁一部分自啟動項來定位有問題的自啟動項。5、運行taskschd.msc打開任務計劃程序,定位問題方法同上。

推薦閱讀:
相關文章