去年双 11 那会开始的,折腾了好久,但是不想重装电脑,使用 360、火绒均扫描不出来。
桌面双击 chrome 快捷方式,窗口会闪一下然后才打开。使用火绒剑监控进程。大概是这样:
双击运行创建的 chrome 进程被关闭(桌面闪一下),然后再次创建带 hao123 尾巴的 chrome 浏览器进程。
双击快捷方式打开的进程 父进程是 explorer 打开是自己设置的首页。
被关闭后再次创建的进程 父进程是 WmiPrvSE.exe,命令行带 hao123 首页网址,打开就是 hao123。
各种软件扫描、DLL 钩子什么的都查过,查不出来。实在不行,只能重装了。 帮忙分析下是否能解决?谢谢。
 |
1
jadeity Jan 3, 2018
火绒的浏览器保护开了吗?如果开了看一下设置的
|
 |
2
onsale Jan 3, 2018 via Android
就用火绒锁定自定义主页
|
 |
3
xh2011wuchi Jan 3, 2018
以前遇到过,安装 360 给搞定了(然后就卸载了.....)
|
 |
7
shijunyi OP @jadeity 开火绒的浏览器保护。 依旧是 hao123,并不是默认的主页,不过 hao123 后面带的数字变了。难道真的锁 hao123 了...
|
 |
8
aminic Jan 3, 2018 via Android
made in china 全家桶啊
|
 |
10
whkvf Jan 3, 2018 via Android
2345 概率大。
|
 |
11
aalska Jan 3, 2018
安装数字 360 解决后卸载
|
 |
13
eslizn Jan 3, 2018
之前遇到过一个浏览器“改首页”的做法:快捷方式参数
|
 |
14
7654 Jan 3, 2018
也许是快捷方式有问题,直接运行 exe 文件呢
|
 |
15
rosu Jan 3, 2018
很久以前遇到一次篡改主页的,非常狠,直接加载为驱动,系统一运行就帮我修改了。
后来用 NOD32 扫出来这个异常驱动。删了就完了。供参考(也可能没有参考意义 |
|
17
shijunyi OP |
 |
18
privil Jan 3, 2018
下个 windows 清理助手 绿色版 扫扫看,不知道支持 win10 不,看官网支持 win8.1 是不是装过驱动精灵,是金山系的流氓行为
|
 |
19
gclove Jan 3, 2018
这么牛逼的技术, 你不学习下来嘛
|
 |
21
pipixia Jan 3, 2018 via Android
路由器直接禁止访问 123 这种网站
|
 |
22
ytterbium Jan 3, 2018 via Android
ghost 安装的 win7 遇到过顽固的篡改主页行为,用 360 全盘查杀和系统修复可以解决,火绒扫不出来
|
 |
23
AutumnEmber Jan 3, 2018
我是安装小红伞找到木马的,然后就解决了。
|
|
24
jadeity Jan 3, 2018  1
|
 |
28
hinate Jan 3, 2018 via iPhone
把 chrome 的名字改掉就好了...我是这样操作的
|
 |
30
weiyichen2011 Jan 3, 2018
Autoruns 仔细看看有无可疑项
|
 |
31
mrmrchu Jan 3, 2018
装机请用微 PE 工具箱,顺便给开发者打 10 块钱的捐赠。不要再用其他任何杀马特 PE 助手(会捆绑安装无尽全家桶)。
安装完成之后,立马下载免费版的 avast 杀毒软件(杀软不要用国产,不要用国产,不要用国产)。 不要去百毒下载软件,如果是有固态硬盘的电脑,保你两年不中全家桶不卡。 |
 |
32
FrancisWu Jan 3, 2018 via iPhone
我记得我也遇到过一次差不多的,最后看出来好像是启动浏览器的时候带了一个参数,把快捷方式啥的换掉,或者重装一下浏览器看看
|
 |
34
endoffight Jan 3, 2018 via iPhone
这个我同事有遇到过,本质原因是有一个驱动程序,有微软签名,他会生成一个 exe,在浏览器的快捷方式加启动参数,解决办法是在安全模式删除相关文件,或者在正常模式下删除后强行重启,因为关机重启也被挂了钩子
|
 |
35
chocolatesir Jan 3, 2018 via Android
@mrmrchu 装机用原版系统没什么必要一开始就杀毒啊。
|
 |
36
520671 Jan 3, 2018 via Android
经判断,这是 WMI 脚本锁定首页
既然安装了火绒,去求助官方群 |
 |
37
des Jan 3, 2018 via Android
WmiPrvSE 是 wmi 相关的东西,检查下 wmi 吧。现在好像都流行这种劫持
|
|
38
mrmrchu Jan 3, 2018
@chocolatesir 如果你自己使用习惯好,肯定是没问题。但是如果给别人装,不到 2 天别人就能用得装满全家桶。
|
 |
39
TigerK Jan 3, 2018
|
 |
40
jy02534655 Jan 4, 2018
所以装机还是的找官方纯净版...
|
 |
41
eluotao Jan 4, 2018
最简单的方法就是 进入 chrome 安装目录 更改 chrome.exe 程序名称中的 chrome1.exe 就不会有了
如果想彻底解决,需要两个工具...一个一个排查.这里就不推荐了 |
 |
42
kawaii303 Jan 4, 2018
给 Chrome 改个名称,我以前遇到过这个,后来发现是 AutoCAD 病毒,清除完病毒后就好了,参考一下我这篇文章。http://blog.sina.com.cn/s/blog_773dee930102xlfe.html
|
|
43
shijunyi OP 谢谢各位回复,最后是修改 chrome.exe 程序名称解决。
|
Select Language