这是一个创建于 2836 天前的主题,其中的信息可能已经有所发展或是发生改变。
去年双 11 那会开始的,折腾了好久,但是不想重装电脑,使用 360、火绒均扫描不出来。
桌面双击 chrome 快捷方式,窗口会闪一下然后才打开。使用火绒剑监控进程。大概是这样:
双击运行创建的 chrome 进程被关闭(桌面闪一下),然后再次创建带 hao123 尾巴的 chrome 浏览器进程。
双击快捷方式打开的进程 父进程是 explorer 打开是自己设置的首页。
被关闭后再次创建的进程 父进程是 WmiPrvSE.exe,命令行带 hao123 首页网址,打开就是 hao123。
各种软件扫描、DLL 钩子什么的都查过,查不出来。实在不行,只能重装了。 帮忙分析下是否能解决?谢谢。
 | 1 jadeity 2018-01-03 16:30:51 +08:00 火绒的浏览器保护开了吗?如果开了看一下设置的 |
 | 2 onsale 2018-01-03 16:32:51 +08:00 via Android 就用火绒锁定自定义主页 |
 | 3 xh2011wuchi 2018-01-03 16:34:08 +08:00 以前遇到过,安装 360 给搞定了(然后就卸载了.....) |
 | 7 shijunyi OP @jadeity 开火绒的浏览器保护。 依旧是 hao123,并不是默认的主页,不过 hao123 后面带的数字变了。难道真的锁 hao123 了... |
 | 8 aminic 2018-01-03 16:45:16 +08:00 via Android made in china 全家桶啊 |
 | 10 swsh007 2018-01-03 16:47:30 +08:00 via Android 2345 概率大。 |
 | 11 aalska 2018-01-03 16:48:51 +08:00 安装数字 360 解决后卸载 |
 | 13 eslizn 2018-01-03 16:51:13 +08:00 之前遇到过一个浏览器“改首页”的做法:快捷方式参数 |
 | 14 7654 2018-01-03 16:51:39 +08:00 也许是快捷方式有问题,直接运行 exe 文件呢 |
 | 15 rosu 2018-01-03 16:51:48 +08:00 很久以前遇到一次篡改主页的,非常狠,直接加载为驱动,系统一运行就帮我修改了。 后来用 NOD32 扫出来这个异常驱动。删了就完了。供参考(也可能没有参考意义 |
 | 17 shijunyi OP |
 | 18 privil 2018-01-03 16:55:16 +08:00 下个 windows 清理助手 绿色版 扫扫看,不知道支持 win10 不,看官网支持 win8.1 是不是装过驱动精灵,是金山系的流氓行为 |
 | 19 gclove 2018-01-03 16:55:27 +08:00 这么牛逼的技术, 你不学习下来嘛 |
| 20 shijunyi OP @jadeity 谢谢提醒,是已经被篡改首页了,我才去安装火绒的,然后看你回复就去打开 浏览器保护。不过依旧问题还在。 |
 | 21 pipixia 2018-01-03 16:57:46 +08:00 via Android 路由器直接禁止访问 123 这种网站 |
 | 22 ytterbium 2018-01-03 16:57:56 +08:00 via Android ghost 安装的 win7 遇到过顽固的篡改主页行为,用 360 全盘查杀和系统修复可以解决,火绒扫不出来 |
 | 23 fengye1996 2018-01-03 16:58:07 +08:00 我是安装小红伞找到木马的,然后就解决了。 |
| 24 jadeity 2018-01-03 17:07:27 +08:00  1 |
| 25 onsale 2018-01-03 17:08:16 +08:00 |
 | 27 yu099 2018-01-03 17:13:10 +08:00 via Android @shijunyi 火绒锁主页要选择过的。它现在没广告,主要是靠锁 123 赚钱,你可以自行更改,默认不打开 |
 | 28 hinate 2018-01-03 17:14:33 +08:00 via iPhone 把 chrome 的名字改掉就好了...我是这样操作的 |
 | 30 weiyichen2011 2018-01-03 17:30:43 +08:00 Autoruns 仔细看看有无可疑项 |
 | 31 mrmrchu 2018-01-03 17:43:29 +08:00 装机请用微 PE 工具箱,顺便给开发者打 10 块钱的捐赠。不要再用其他任何杀马特 PE 助手(会捆绑安装无尽全家桶)。 安装完成之后,立马下载免费版的 avast 杀毒软件(杀软不要用国产,不要用国产,不要用国产)。 不要去百毒下载软件,如果是有固态硬盘的电脑,保你两年不中全家桶不卡。 |
 | 32 FrancisWu 2018-01-03 17:44:21 +08:00 via iPhone 我记得我也遇到过一次差不多的,最后看出来好像是启动浏览器的时候带了一个参数,把快捷方式啥的换掉,或者重装一下浏览器看看 |
 | 34 endoffight 2018-01-03 18:32:44 +08:00 via iPhone 这个我同事有遇到过,本质原因是有一个驱动程序,有微软签名,他会生成一个 exe,在浏览器的快捷方式加启动参数,解决办法是在安全模式删除相关文件,或者在正常模式下删除后强行重启,因为关机重启也被挂了钩子 |
 | 35 chocolatesir 2018-01-03 20:16:49 +08:00 via Android @mrmrchu 装机用原版系统没什么必要一开始就杀毒啊。 |
 | 36 520671 2018-01-03 20:23:49 +08:00 via Android 经判断,这是 WMI 脚本锁定首页 既然安装了火绒,去求助官方群 |
 | 37 des 2018-01-03 20:39:05 +08:00 via Android WmiPrvSE 是 wmi 相关的东西,检查下 wmi 吧。现在好像都流行这种劫持 |
| 38 mrmrchu 2018-01-03 20:45:28 +08:00 @chocolatesir 如果你自己使用习惯好,肯定是没问题。但是如果给别人装,不到 2 天别人就能用得装满全家桶。 |
 | 39 TigerK 2018-01-03 21:17:24 +08:00 |
 | 40 jy02534655 2018-01-04 10:56:41 +08:00 所以装机还是的找官方纯净版... |
 | 41 eluotao 2018-01-04 10:56:46 +08:00 最简单的方法就是 进入 chrome 安装目录 更改 chrome.exe 程序名称中的 chrome1.exe 就不会有了 如果想彻底解决,需要两个工具...一个一个排查.这里就不推荐了 |
 | 42 kawaii303 2018-01-04 12:43:49 +08:00 给 Chrome 改个名称,我以前遇到过这个,后来发现是 AutoCAD 病毒,清除完病毒后就好了,参考一下我这篇文章。http://blog.sina.com.cn/s/blog_773dee930102xlfe.html |
| 43 shijunyi OP 谢谢各位回复,最后是修改 chrome.exe 程序名称解决。 |
Select Language