这是一个创建于 3403 天前的主题,其中的信息可能已经有所发展或是发生改变。
IE.CHROME ,搜狗无一幸免,,,,,重新安装,刚开始还行,过上几分钟, 6789 就爬上身了,,,, 360 用过了无效,,,,搜了一下,已经有人在 360 报警,可惜尚无解药
 | 1 jhaohai 2016-06-16 21:02:12 +08:00 via iPhone 居然在 360 报警,不知道流氓头子是谁嘛 |
 | 2 Gua 2016-06-16 21:03:24 +08:00 我一般是 win10 一键还原~ |
 | 3 vtoexshan OP http://bbs.guanjia.qq.com/forum.php?mod=viewthread&tid=4679493&page=1 http://bbs.360safe.com/thread-7041630-1-1.html @jhaohai 看,就是这里,,, 6789 。 com 这是哪路神仙搞得嘛,何苦呢,能折腾几天 |
 | 4 Laynooor 2016-06-16 21:32:43 +08:00 是直接访问 6789 这个网站后,就被篡改了么? 开了平时用的 Windows 10 虚拟机,里面只装了 QQ ,百度云什么的。 使用 Edge 、 Google Chrome 、猎豹浏览器访问后均无被篡改的情况。 |
| 5 Laynooor 2016-06-16 21:34:14 +08:00 感觉应该是电脑上什么软件纂改的…单纯访问不可能有纂改的黑科技吧… |
 | 6 tobyxdd 2016-06-16 21:36:36 +08:00 不会是 ISP 劫持吧 |
| 7 vtoexshan OP @Laynooor 你说的有可能,已经有两天了,,,,但记不起来做了什么操作 or 装了什么软件,,,好像装了个 mactype , wincap ,后面就出现了,,,现在怎么清理,感觉挺顽固,重装了 chrome ,,新装了搜狗,,很快就被上身了,,,进程里面也看不出异样 |
| 8 vtoexshan OP @tobyxdd 经提醒,查看了网络连接 dns 被改 123.125.81.6 ,查路由器 dns 被改 61.146.155.184 ,等下 继续观察,,,,冷汗 |
| 9 vtoexshan OP dns 改好了,还是老样子,,, |
 | 10 helloSwift 2016-06-16 22:03:59 +08:00 你是安装了什么软件吧,不可能访问了这个网址后就被篡改的 |
| 11 vtoexshan OP @helloSwift 没有主动访问过这个网址,,,至于装软件,现在从卸载里面看不出有问题软件存在啊,当然流氓肯定要隐藏起来的 |
 | 12 xia0chun 2016-06-16 22:14:47 +08:00  1 |
| 13 Gua 2016-06-16 22:22:19 +08:00 一般情况是安装破解游戏流氓的。 |
| 14 vtoexshan OP |
| 15 vtoexshan OP @Gua 在 6.月 12 日确实装过唯一一款游戏,刚刚已经删了,还是不行啊,找不出流氓的文件夹,,,, v 站贴图也不方便看任务管理器 |
 | 17 rssf 2016-06-16 22:38:56 +08:00 via iPhone format c : |
 | 18 XianZaiZhuCe 2016-06-16 22:41:17 +08:00 mac 保平安 |
 | 19 clino 2016-06-16 22:42:27 +08:00 via Android 换系统 |
 | 20 isnowify 2016-06-16 22:43:06 +08:00 via iPad 还原点有做吗? 正常 install 都会给做的 |
| 21 helloSwift 2016-06-16 22:45:21 +08:00 @vtoexshan 重装吧,如果是我,我肯定重装,心里好受点 |
| 22 vtoexshan OP @Gua @rssf @XianZaiZhuCe @clino @isnowify @helloSwift 还原早关了,哎,,,再等几天,看看有哪位神仙有办法,,,,, ps ,路由器和连接里面 dns 被改,算严重的安全问题吗,可怕吗?以前都是听说,这算头次遇见了 |
 | 24 holoto 2016-06-16 23:07:25 +08:00 用 360 系统急救箱扫描下 就 OK 了 |
 | 25 fangxing204 2016-06-16 23:07:50 +08:00 via Android 改下 host 行吗 |
| 26 vtoexshan OP |
 | 27 luckyduck 2016-06-16 23:39:09 +08:00 这个和浏览器没有关系,是因为覆盖了你系统的 socket dll 文件,所以任何应用(包括你写的程序)发出的 http 请求都可以被拦截。 |
 | 28 lililala 2016-06-16 23:41:04 +08:00 重新下别的版本的系统。 |
 | 29 yeyeye 2016-06-17 01:10:55 +08:00 autoruns |
 | 31 nvidiaAMD980X 2016-06-17 07:04:01 +08:00 via Android 不要相信任何锅内的安全软件!!!! |
 | 32 dixyes 2016-06-17 07:16:14 +08:00 via Android 这是要 sfc 和 dism 一起来一下?( win7+ |
 | 33 Halry 2016-06-17 07:32:03 +08:00 via Android 肯定是电脑里面还有流氓才会这样子的,你试下别的国外杀毒软件呀。 360 ,毒霸这些的只要交了保护费你的 adware 就能通过 |
 | 34 ThreeBody 2016-06-17 07:50:07 +08:00 via Android @vtoexshan 这个情况明显是有进城守护的,各位流氓都查不出,以前 xp 有 icesword 就很方便直接就能查看各种挂钩,现在不知道有哪些了 你的路由 dns 被修改,一般都是因为路由默认密码没改导致的,不要用默认密码,不要用简单密码就好 |
 | 35 dashnier 2016-06-17 08:06:04 +08:00 via Android 改注册表锁定主页,更改注册表拥有者权限,更改只读。确认快捷方式路径后面有没有奇怪的链接。 以上, |
 | 36 guizer 2016-06-17 08:36:23 +08:00 via iPhone 临时解决 改 hosts ,但是 ss 一类的不走 hosts ,还是重装简单。 |
 | 37 lechain 2016-06-17 08:39:52 +08:00 via Android Linux 大法好…曾经被 Windows 上的浏览器流氓劫持搞得耐心尽失…后来这成为我放弃 Windows 系统的根本原因之一 |
 | 38 youxiachai 2016-06-17 10:28:31 +08:00 玩破解了吧...? |
| 39 vtoexshan OP @ThreeBody 路由用户名确是默认的,密码改过 9 位纯字母强度不足…………冰刃以前用过,看了下好几年都没更新了 @youxiachai 运行过唯一一个游戏,不用安装那种,弹出来一个运行界面,有打补丁按钮,运行按钮, xx 按钮。。。。 各位大神,现在怎么从进程倒查到文件呢 |
 | 40 Midnight 2016-06-17 11:18:10 +08:00 1 到注册表里搜索下,我昨天也发现被一个网站篡改了注册表,然后跳转到搜狐的一个导航网站去了 |
 | 41 icedx 2016-06-17 11:24:17 +08:00 via Android |
| 42 youxiachai 2016-06-17 11:45:47 +08:00 @vtoexshan 原来是这种啊....我建议你不用折腾了....备份重装吧.... |
| 44 Midnight 2016-06-17 13:15:14 +08:00 |
 | 45 BlueFly 2016-06-17 13:29:45 +08:00 没有一个人说到点子上,不就是你安装软件时候,夹带了“大礼包”给你。 卸载流氓软件、卸载病毒、卸载木马,就是了 随便找个小软件,扫描一次系统的情况的 Log (包括各启动项、各服务项、各计划任务、文件关连等等),把 Log 帖出来,自然就一清二楚。 |
| 46 BlueFly 2016-06-17 13:35:34 +08:00 没有一个人说到点子上,不就是你安装软件时候,夹带了“大礼包”给你。 卸载流氓软件、卸载病毒、卸载木马,就是了 随便找个小软件,扫描一次系统的情况的 Log (包括各启动项、各服务项、各计划任务、文件关连等等),把 Log 帖出来,自然就一清二楚。 |
| 47 ThreeBody 2016-06-17 14:28:50 +08:00 via Android @vtoexshan 现在冰刃开发者被 360 招了,也就停止更新了,后来说出了另外一个,但是我运行会蓝屏就算了。 你把那个游戏的下载地址发一下,我有空去试试 |
 | 48 kokutou 2016-06-17 14:31:44 +08:00 autoruns 查一下就行了。。。 |
| 49 vtoexshan OP |
 | 50 Fedor 2016-06-17 15:31:11 +08:00 注册表、启动项、服务、相关目录、可疑进程 清理之 |
 | 51 nullp 2016-06-17 18:30:52 +08:00 注册表 扫描应该无果的 因为都是做跳转的。用 autoruns 扫下 或者 SpybotSDPortable.exe |
 | 52 cfans1993 2016-06-17 19:47:48 +08:00 1.两个月前中了小马激活,主要是 WMI 事件(定时给你的主页设置一下) 乌云上找的详细在这里 http://drops.wooyun.org/papers/15075 2.当时还比较简单,删除 c:/window/OEM.exe 用组策略锁定主页(组策略的锁定优先级很高) http://jingyan.baidu.com/article/d3b74d64a150611f77e6092c.html 3.然后用 WMI 工具查找那个定时更改主页的 WMI 事件,删除掉.由于组策略的原因已经没法再更改我们自己设置的主页,但不删除的话,快捷方式还会被加个小尾巴 |
| 53 vtoexshan OP 搞定了,装 360 离线急救箱,急救箱杀死一个 sys ,手动在 drivers 下看到一个 16 号创建的 sys 不顺眼,粉碎 然后,现在就清净了,,,,,,希望不再复发 |
 | 55 aprikyblue 2016-06-17 23:54:33 +08:00 via Android 开注册表访问监控,浏览器相关表项 |
Select Language