浏览器被hao123挟持,怎么破?
本帖最后由 神无月七夜 于 2013-11-5 14:25 编辑自己搞定了...
妈的,检查了半天,终于注意到可疑进程Brmas.exe,检查了一下,果然跟浏览器相关的程序!地址是C:\Program Files\Brmas\bin\Brmas.exe,先尝试强制停止进程,无效,用各种文件强删软件强制删除,无效,于是直接进入安全模式,KO整个C:\Program Files\Brmas文件夹,重启,世界清净了.....
---------------------------------------------------------------------------------------日期分割线-------------------------------------------------------------------------------------------------
浏览器被hao123挟持,怎么破?现在无论是chrome还是ie,只要重新打开,主页一定是跳到hao123去,各个浏览器设置中的主页没有问题,hosts文件没问题,DNS设置啥的也没问题,用网上提到的修改注册表之类的也无法解决,各种管家的IE保护也显示主页正常....
有可能快捷方式被劫持了 看看快捷方式的目标 烈之斩 发表于 2013-11-4 14:15
有可能快捷方式被劫持了 看看快捷方式的目标
没用快捷方式,用浏览器本身的应用程序打开依然如此 ZOL有不少软件绑了hao123还他妈不提示,上次下的MSE就中招了 没见过hao123的,见的多的是2345.com,每次重启以后都会还原它的首页;
后来找到MSCONFIG里的开机启动项,有奇怪的程序在里面,取消开机启动就OK了; 神无月七夜 发表于 2013-11-4 01:16
没用快捷方式,用浏览器本身的应用程序打开依然如此
Chrome有两个地方可以劫持,一个是主页,一个是On startup里面的open a specific page,你都检查下
和hosts和dns没啥关系 100SHIKI 发表于 2013-11-4 14:20
没见过hao123的,见的多的是2345.com,每次重启以后都会还原它的首页;
后来找到MSCONFIG里的开机启动项, ...
开机启动项正常 烈之斩 发表于 2013-11-4 14:22
Chrome有两个地方可以劫持,一个是主页,一个是On startup里面的open a specific page,你都检查下
和ho ...
On startup这个设置怎么查看?主页那个看过了,正常 神无月七夜 发表于 2013-11-4 01:26
On startup这个设置怎么查看?主页那个看过了,正常
http://snag.gy/qWrmi.jpg 烈之斩 发表于 2013-11-4 14:28
这个也检查过了,没问题 那没辙了,理论上chrome不会被除此之外的方式劫持才对……插件看看? 烈之斩 发表于 2013-11-4 14:36
那没辙了,理论上chrome不会被除此之外的方式劫持才对……插件看看?
插件也没发现异常...囧了,现在chrome,ie,启动的时候必然打开hao123主页.... IE的话,你可以下个魔方。用带的IE插件改。然后卸载。
我前几天就是发现主页变了,后来发现是魔方改的 cpuisme 发表于 2013-11-4 14:46
IE的话,你可以下个魔方。用带的IE插件改。然后卸载。
我前几天就是发现主页变了,后来发现是魔方 ...
奇怪的就是,只有第一次打开浏览器的时候会跳转hao123,之后再按主页键就会跳转到正常设定的主页。各种地方都找不出问题 ace0017 发表于 2013-11-4 14:49
如果你没有用什么360之类的锁住或者锁住也改不了的话请务必用杀软查杀
用杀软根本查不出任何问题,检查各个浏览器的主页设定里面一切正常.... 开机启动项里边有没有奇怪的东西?
或者把最近新安的程序卸载掉试试?
本帖最后由 pgain2004 于 2013-11-4 15:51 编辑
你看看有没有这个:C:\windows\system32\driver\cbs.sys或者wbl.sys之类的奇怪玩意儿,看属性可以判断,签名大概是魔法桌面什么的
有的话,先卸载,然后找个PCHunter或者Unlocker之类的软件强行删掉,可能会蓝屏,重启后解决。如果还是自动生成,考虑开pe,灭文件的同时灭注册表项,应该就能彻底搞定了
这东西常见于ZOL上的下载…… pgain2004 发表于 2013-11-4 15:49
你看看有没有这个:C:\windows\system32\driver\cbs.sys或者wbl.sys之类的奇怪玩意儿,看属性可以判断,签 ...
这个方法之前就试过了,没发现cbs和wbl之类的文件 把机器上所有国产软件都卸载了看看…… 不行的话再弄一些外国的工具治理 比如advanced systemcare きらきしょう 发表于 2013-11-4 17:48
把机器上所有国产软件都卸载了看看…… 不行的话再弄一些外国的工具治理 比如advanced systemcar ...
千万不要用这个玩意……
我上回用这个玩意把系统搞挂了…… 检查一下路由器设置的dns?
这个比较毒 LZ裝了快播把。。。。卸載掉就正常了- - 楼主有没有装软媒魔方之类的软件?魔方会强制主页hao123,可以在设置里修改
—— from S1 Nyan (HTC 8X) IFEO劫持?装个QQ安全360金山之流的和它比流氓咯 现在hao123可高级了,提示是日文的,下次弄个阿拉伯文我就真不认识了。
----发送自 ZTE ZTE N986,Android 4.2.1 sonicll 发表于 2013-11-4 18:29
楼主有没有装软媒魔方之类的软件?魔方会强制主页hao123,可以在设置里修改
—— from S1 Nyan (HTC 8X) ...
从没装过 kerorokun 发表于 2013-11-4 18:18
LZ裝了快播把。。。。卸載掉就正常了- -
从没装过 优秀 发表于 2013-11-4 18:01
检查一下路由器设置的dns?
这个比较毒
公司的路由器,目前除了我的电脑其它同线路电脑无问题,看来应该只是我电脑个别问题 Kshatriya 发表于 2013-11-4 14:17
ZOL有不少软件绑了hao123还他妈不提示,上次下的MSE就中招了
这东西为什么不从官网下? 神无月七夜 发表于 2013-11-4 08:03
公司的路由器,目前除了我的电脑其它同线路电脑无问题,看来应该只是我电脑个别问题 ...
重置chrome能解决不?
在C:\Documents and Settings\用户名\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences 神无月七夜 发表于 2013-11-4 14:50
奇怪的就是,只有第一次打开浏览器的时候会跳转hao123,之后再按主页键就会跳转到正常设定的主页。各种地 ...
我猜是把iexplore.exe改名, 然后建个名为iexplore.exe的快捷方式里面带上网址的方式 afweteyagas 发表于 2013-11-5 04:05
我猜是把iexplore.exe改名, 然后建个名为iexplore.exe的快捷方式里面带上网址的方式 ...
查看了一下,ie和chrome的exe没啥异常,但是点击打开依然是跳hao123..... 百度日文输入法?记得这货最近弹过个日文的选框,好像要给我弄什么国产流氓来着,忘了是不是hao123了。
自己搞定了...
妈的,检查了半天,终于注意到可疑进程Brmas.exe,检查了一下,果然跟浏览器相关的程序!地址是C:\Program Files\Brmas\bin\Brmas.exe,先尝试强制停止进程,无效,用各种文件强删软件强制删除,无效,于是直接进入安全模式,KO整个C:\Program Files\Brmas文件夹,重启,世界清净了..... bubuyu 发表于 2013-11-4 21:22
这东西为什么不从官网下?
当时刚重装完,用IE默认的病搜索MSE 64位 中文 第一个结果就是ZOL YuKin 发表于 2013-11-4 18:40
现在hao123可高级了,提示是日文的,下次弄个阿拉伯文我就真不认识了。
----发送自 ZTE ZTE N986,Android...
百度日语输入法,然后是日本那边的hao123导航 本帖最后由 smcghost 于 2013-11-5 11:26 编辑
找了下找到关于这个病毒的定义了,希望有帮助。。。。
http://www.drwebhk.com/en/virus_ ... nLoader9.60022.html
查找当中bluesoft.exe,还有这个病毒相关
https://www.drwebhk.com/en/virus_techinfo/Trojan.DownLoader9.48326.html
对附这种你实在是不懂一些进程分析工具就用比它更流氓的 金山 360 企鹅管家 之流肯定能把它干掉变成其中的一个
页:
[1]
2