文章内容
2017/5/6 16:40:06,作 者: 黄兵
chrome 主页被劫持,每天首次打开chrome都会进入2345的界面,求助解决办法?
最近用雨木林风的Ghost系统之后,把系统自带的软件卸载之后,浏览器被2345劫持了。每天开机第一次启动,Chrome都会打开2345的界面。
在网上寻找答案,最后在知乎给我了启发,内容如下:
---------2016-3-3更新如下----------
一、建议遇到此问题的大家先用杀毒软件扫描C盘,不要使用半吊子的360、电脑管家和我以前有提到的火绒,也不要使用国内流氓的杀毒软件如瑞星、毒霸等,建议用卡巴斯基等收费杀毒软件(可以试用的)。
原因在于:
1.我的电脑之前通过如下方法解决了首页被劫持问题后,没有杀毒,今天杀毒杀到两个木马。
2.劫持首页已经是黑产的一部分了,因为有利可图所以有无数人变着法地劫持,道高一尺魔高一丈,已经出现专为劫持首页的病毒,我们不知道除了这个表面的劫持动作外是否还有后台的其他动作。
二、如果一定要自己动手,建议不要用半吊子的方法来查杀,直接看这个解答为什么 Chrome 浏览器的主页会被篡改为 hao123 ?遇到这种情况需要如何进行修复? - dll 其他方法包括我的方法基本都是治标不治本的,而且大家的现象都不太一样。另外这个回答里提到的工具大部分是微软官方可以找到的。
---------2015-5-5更新如下----------
更新利用自启动劫持的情况,现象有:
1.浏览器被自动添加到快速启动栏(或桌面)并被修改主页,删除快速启动栏图标重启电脑后无效。
2.浏览器只在第一次启动时打开特定页面,其余时候表现正常。
原因是:劫持者使用系统任务计划或者自启动程序,在开机或其他特定时间启动劫持程序(一般是批处理,也可能是注册一个服务来完成劫持)。劫持程序可能会在运行后删除自身以防止被发现,也可能运行后生成另一个劫持程序进行劫持操作防止被发现(我都遇到了 )。
解决办法:1.运行msconfig,找到系统自启动项,禁用陌生的自启动项。都陌生的,请禁用全部自启动项,如果解决了再一次解禁一部分自启动项来定位有问题的自启动项。
2.运行taskschd.msc打开任务计划程序,定位问题方法同上。
3.如果是被注册成系统服务的,请用杀毒软件查杀,自己如果查错了可能会造成很麻烦的后果。想自己动手的注意查看服务项名称重复的和服务项介绍很少的,劫持首页的服务项会伪装成系统原生服务。
4.如果有一个好工具,请直接监视系统目录全部改动,直接定位到劫持程序的位置删除之。
在另一个问题里提供的答案,问题是 chrome 主页被篡改为hao123?技术宅带你层层深入破之 - dll 。这里已经讲得很清楚了,我只是按照这里的原理提供一个大家看得懂的解决方案。
解决的问题是:Chrome IE Firefox或者其它浏览器首页被篡改且无法通过修改主页的方式修改回来。
解决步骤:
- 有一部分人只是桌面的快捷方式被篡改,请右键桌面上的快捷方式查找到文件的安装目录,尝试从安装目录双击启动浏览器,如果首页正常说明是快捷方式的问题,删掉快捷方式重新生成一个快捷方式到桌面就解决了。
- 如果上述未解决,请尝试从任务管理器里面运行浏览器程序,如果首页仍然被修改说明浏览器程序有问题,建议重新安装。
- 如果用任务管理器运行后首页就恢复正常了,说明问题很可能跟explorer进程有关,那么先看C:\Windows下面的explorer.exe程序有无异常,比如修改日期是否异常,有问题的话建议找相同系统的电脑上拷贝一个explorer.exe文件,或者直接重装系统。
- 如果explorer.exe也无问题,那么看进程钩子有无异常,一般是DLL文件出问题,不用会看代码什么的,我是用火绒软件里面的“火绒剑”功能查看的,用钩子扫描扫描explorer.exe进程,我在目标位置这一栏会有一条指向2345.lc文件的,按着这个路径在电脑找到这个文件并删除即可。
- 如果以上都未解决,那么看有没有奇怪的自启动项,或者是奇怪的进程,禁用或关闭后试试。
之后我按照上面的方法一个一个的排除,最终在这里找到了答案:
如果用任务管理器运行后首页就恢复正常了,说明问题很可能跟explorer进程有关,那么先看C:\Windows下面的explorer.exe程序有无异常,比如修改日期是否异常,有问题的话建议找相同系统的电脑上拷贝一个explorer.exe文件,或者直接重装系统。
从任务任务管理器启动Chorme没有问题,我从其他电脑拷贝了一个explorer.exe文件覆盖,任然没有解决问题。
具体怎么覆盖explorer.exe参考这里。
之后用Process Hacker 2(下载地址:点击这里)检查explorer.exe,可以看到这个进程里面被注入了dll
看这名字就觉得有问题,在网上看了一下,看样子评价不是很好,如图:
那我们今天就直接拿你开刀了。
这个文件是隐藏的,直接删除提示无法删除。
这里我们不需要下载任何工具,只要用Windows自带的小助手即可。首先打开命令提示符窗口,输入命令“tasklist /m BackDoorDll.dll”,效果如图:
这条命令意思是检测指定名字的文件被哪些进程所调用,从结果可以看出原来DLL病毒文件插入到了进程iexplore.exe 中,此进程ID为5304,那我们现在关闭该进程,用命令“taskkill /f /PID 5304”,它的意思是强行终止ID号为3240的进程。当然,我们也可以用任务管理器结束该进程。
结束了该进程,IElock64.dll没了依靠,explorer.exe直接崩溃,无法直接删除它了。
有人说用冰刃,但是冰刃无法在windows 7 x64平台下运行,没办法用。
那就直接用CMD的del命令删除,如果不会del命令看一下帮助:
c:\Windows>del /? 删除一个或数个文件。 DEL [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names ERASE [/P] [/F] [/S] [/Q] [/A[[:]attributes]] names names 指定一个或多个文件或者目录列表。 通配符可用来删除多个文件。 如果指定了一个目录,该目录中的所 有文件都会被删除。 /P 删除每一个文件之前提示确认。 /F 强制删除只读文件。 /S 删除所有子目录中的指定的文件。 /Q 安静模式。删除全局通配符时,不要求确认 /A 根据属性选择要删除的文件 属性 R 只读文件 S 系统文件 H 隐藏文件 A 存档文件 I 无内容索引文件 L 重分析点 - 表示“否”的前缀 如果命令扩展被启用,DEL 和 ERASE 更改如下: /S 开关的显示句法会颠倒,即只显示已经 删除的文件,而不显示找不到的文件。
用 del IElock64.dll删除,提示“找不到 c:\Windows\IElock64.dll”,看样子要加参数,最后采用如下命令删除:
del /S /A IElock64.dll
重启explorer.exe打开浏览器,问题终于解决了。
大家有什么问题给我留言,转载请注明处处(黄兵的个人博客 - chrome 主页被劫持,每天首次打开chrome都会进入2345的界面,求助解决办法?)。
参考网址:
评论列表