浏览器被hao123挟持，怎么破？

神无月七夜 · 发表于 2013-11-4 14:12

本帖最后由神无月七夜于 2013-11-5 14:25 编辑

自己搞定了...
妈的，检查了半天，终于注意到可疑进程Brmas.exe，检查了一下，果然跟浏览器相关的程序！地址是C:\Program Files\Brmas\bin\Brmas.exe，先尝试强制停止进程，无效，用各种文件强删软件强制删除，无效，于是直接进入安全模式，KO整个C:\Program Files\Brmas文件夹，重启，世界清净了.....

---------------------------------------------------------------------------------------日期分割线-------------------------------------------------------------------------------------------------

浏览器被hao123挟持，怎么破？现在无论是chrome还是ie，只要重新打开，主页一定是跳到hao123去，各个浏览器设置中的主页没有问题，hosts文件没问题，DNS设置啥的也没问题，用网上提到的修改注册表之类的也无法解决，各种管家的IE保护也显示主页正常....

烈之斩 · 发表于 2013-11-4 14:15

有可能快捷方式被劫持了看看快捷方式的目标

神无月七夜 · 发表于 2013-11-4 14:16

烈之斩发表于 2013-11-4 14:15
有可能快捷方式被劫持了看看快捷方式的目标

没用快捷方式，用浏览器本身的应用程序打开依然如此

Kshatriya · 发表于 2013-11-4 14:17

ZOL有不少软件绑了hao123还他妈不提示,上次下的MSE就中招了

100SHIKI · 发表于 2013-11-4 14:20

没见过hao123的，见的多的是2345.com，每次重启以后都会还原它的首页；
后来找到MSCONFIG里的开机启动项，有奇怪的程序在里面，取消开机启动就OK了；

烈之斩 · 发表于 2013-11-4 14:22

神无月七夜发表于 2013-11-4 01:16
没用快捷方式，用浏览器本身的应用程序打开依然如此

Chrome有两个地方可以劫持，一个是主页，一个是On startup里面的open a specific page，你都检查下

和hosts和dns没啥关系

神无月七夜 · 发表于 2013-11-4 14:26

100SHIKI 发表于 2013-11-4 14:20
没见过hao123的，见的多的是2345.com，每次重启以后都会还原它的首页；
后来找到MSCONFIG里的开机启动项， ...

开机启动项正常

神无月七夜 · 发表于 2013-11-4 14:26

烈之斩发表于 2013-11-4 14:22
Chrome有两个地方可以劫持，一个是主页，一个是On startup里面的open a specific page，你都检查下

和ho ...

On startup这个设置怎么查看？主页那个看过了，正常

烈之斩 · 发表于 2013-11-4 14:28

神无月七夜发表于 2013-11-4 01:26
On startup这个设置怎么查看？主页那个看过了，正常

神无月七夜 · 发表于 2013-11-4 14:31

烈之斩发表于 2013-11-4 14:28

这个也检查过了，没问题

烈之斩 · 发表于 2013-11-4 14:36

那没辙了，理论上chrome不会被除此之外的方式劫持才对……插件看看？

神无月七夜 · 发表于 2013-11-4 14:45

烈之斩发表于 2013-11-4 14:36
那没辙了，理论上chrome不会被除此之外的方式劫持才对……插件看看？

插件也没发现异常...囧了，现在chrome，ie，启动的时候必然打开hao123主页....

cpuisme · 发表于 2013-11-4 14:46

IE的话，你可以下个魔方。用带的IE插件改。然后卸载。
我前几天就是发现主页变了，后来发现是魔方改的

ace0017 · 发表于 2013-11-4 14:49

提示: 作者被禁止或删除内容自动屏蔽

神无月七夜 · 发表于 2013-11-4 14:50

cpuisme 发表于 2013-11-4 14:46
IE的话，你可以下个魔方。用带的IE插件改。然后卸载。
我前几天就是发现主页变了，后来发现是魔方 ...

奇怪的就是，只有第一次打开浏览器的时候会跳转hao123，之后再按主页键就会跳转到正常设定的主页。各种地方都找不出问题

神无月七夜 · 发表于 2013-11-4 14:51

ace0017 发表于 2013-11-4 14:49
如果你没有用什么360之类的锁住或者锁住也改不了的话请务必用杀软查杀

用杀软根本查不出任何问题，检查各个浏览器的主页设定里面一切正常....

cpuisme · 发表于 2013-11-4 14:54

开机启动项里边有没有奇怪的东西？
或者把最近新安的程序卸载掉试试？

ace0017 · 发表于 2013-11-4 15:00

提示: 作者被禁止或删除内容自动屏蔽

pgain2004 · 发表于 2013-11-4 15:49

本帖最后由 pgain2004 于 2013-11-4 15:51 编辑

你看看有没有这个：C:\windows\system32\driver\cbs.sys或者wbl.sys之类的奇怪玩意儿，看属性可以判断，签名大概是魔法桌面什么的
有的话，先卸载，然后找个PCHunter或者Unlocker之类的软件强行删掉，可能会蓝屏，重启后解决。如果还是自动生成，考虑开pe，灭文件的同时灭注册表项，应该就能彻底搞定了
这东西常见于ZOL上的下载……

神无月七夜 · 发表于 2013-11-4 16:09

pgain2004 发表于 2013-11-4 15:49
你看看有没有这个：C:\windows\system32\driver\cbs.sys或者wbl.sys之类的奇怪玩意儿，看属性可以判断，签 ...

这个方法之前就试过了，没发现cbs和wbl之类的文件

きらきしょう · 发表于 2013-11-4 17:48

把机器上所有国产软件都卸载了看看…… 不行的话再弄一些外国的工具治理比如advanced systemcare

meltymap · 发表于 2013-11-4 17:55

きらきしょう发表于 2013-11-4 17:48
把机器上所有国产软件都卸载了看看…… 不行的话再弄一些外国的工具治理比如advanced systemcar ...

千万不要用这个玩意……
我上回用这个玩意把系统搞挂了……

优秀 · 发表于 2013-11-4 18:01

检查一下路由器设置的dns？
这个比较毒

kerorokun · 发表于 2013-11-4 18:18

LZ裝了快播把。。。。卸載掉就正常了- -

sonicll · 发表于 2013-11-4 18:29

楼主有没有装软媒魔方之类的软件?魔方会强制主页hao123，可以在设置里修改
—— from S1 Nyan (HTC 8X)来自: WindowsPhone客户端

allenz · 发表于 2013-11-4 18:32

IFEO劫持？装个QQ安全360金山之流的和它比流氓咯

YuKin · 发表于 2013-11-4 18:40

现在hao123可高级了，提示是日文的，下次弄个阿拉伯文我就真不认识了。

----发送自 ZTE ZTE N986,Android 4.2.1

神无月七夜 · 发表于 2013-11-4 21:02

sonicll 发表于 2013-11-4 18:29
楼主有没有装软媒魔方之类的软件?魔方会强制主页hao123，可以在设置里修改
—— from S1 Nyan (HTC 8X) ...

从没装过

神无月七夜 · 发表于 2013-11-4 21:02

kerorokun 发表于 2013-11-4 18:18
LZ裝了快播把。。。。卸載掉就正常了- -

从没装过

神无月七夜 · 发表于 2013-11-4 21:03

优秀发表于 2013-11-4 18:01
检查一下路由器设置的dns？
这个比较毒

公司的路由器，目前除了我的电脑其它同线路电脑无问题，看来应该只是我电脑个别问题

bubuyu · 发表于 2013-11-4 21:22

Kshatriya 发表于 2013-11-4 14:17
ZOL有不少软件绑了hao123还他妈不提示,上次下的MSE就中招了

这东西为什么不从官网下？

烈之斩 · 发表于 2013-11-5 03:47

神无月七夜发表于 2013-11-4 08:03
公司的路由器，目前除了我的电脑其它同线路电脑无问题，看来应该只是我电脑个别问题 ...

重置chrome能解决不？
在C:\Documents and Settings\用户名\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

afweteyagas · 发表于 2013-11-5 04:05

神无月七夜发表于 2013-11-4 14:50
奇怪的就是，只有第一次打开浏览器的时候会跳转hao123，之后再按主页键就会跳转到正常设定的主页。各种地 ...

我猜是把iexplore.exe改名, 然后建个名为iexplore.exe的快捷方式里面带上网址的方式

神无月七夜 · 发表于 2013-11-5 08:27

afweteyagas 发表于 2013-11-5 04:05
我猜是把iexplore.exe改名, 然后建个名为iexplore.exe的快捷方式里面带上网址的方式 ...

查看了一下，ie和chrome的exe没啥异常，但是点击打开依然是跳hao123.....

soloviki · 发表于 2013-11-5 08:43

百度日文输入法？记得这货最近弹过个日文的选框，好像要给我弄什么国产流氓来着，忘了是不是hao123了。

神无月七夜 · 发表于 2013-11-5 08:52

自己搞定了...
妈的，检查了半天，终于注意到可疑进程Brmas.exe，检查了一下，果然跟浏览器相关的程序！地址是C:\Program Files\Brmas\bin\Brmas.exe，先尝试强制停止进程，无效，用各种文件强删软件强制删除，无效，于是直接进入安全模式，KO整个C:\Program Files\Brmas文件夹，重启，世界清净了.....

Kshatriya · 发表于 2013-11-5 09:35

bubuyu 发表于 2013-11-4 21:22
这东西为什么不从官网下？

当时刚重装完,用IE默认的病搜索MSE 64位中文第一个结果就是ZOL

zihexing · 发表于 2013-11-5 10:57

YuKin 发表于 2013-11-4 18:40
现在hao123可高级了，提示是日文的，下次弄个阿拉伯文我就真不认识了。

----发送自 ZTE ZTE N986,Android ...

百度日语输入法，然后是日本那边的hao123导航

smcghost · 发表于 2013-11-5 11:17

本帖最后由 smcghost 于 2013-11-5 11:26 编辑

找了下找到关于这个病毒的定义了，希望有帮助。。。。
http://www.drwebhk.com/en/virus_ ... nLoader9.60022.html
查找当中bluesoft.exe,还有这个病毒相关
https://www.drwebhk.com/en/virus_techinfo/Trojan.DownLoader9.48326.html

godzillaqqq · 发表于 2013-11-5 13:39

对附这种你实在是不懂一些进程分析工具就用比它更流氓的金山 360 企鹅管家之流肯定能把它干掉变成其中的一个

		自动登录	找回密码
密码			立即注册

[网络] 浏览器被hao123挟持，怎么破？

浏览过的版块

ace0017 ace0017 当前离线禁止发言精华 \| 战斗力鹅 \| 回帖 0 注册时间 2008-2-19 头像被屏蔽	发表于 2013-11-4 14:49 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽

	回复使用道具举报

ace0017 ace0017 当前离线禁止发言精华 \| 战斗力鹅 \| 回帖 0 注册时间 2008-2-19 头像被屏蔽	发表于 2013-11-4 15:00 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽

	回复使用道具举报