被2345篡改主页,启动项、注册表、快捷方式都查了,WINDOWS清理助手、360都没法!
网上搜索,发现现在是加载expoler钩子DLL了,用火绒剑查加载的DLL,排查出来,总算安静了。
guardapi.dll杀毒软件还认得到,acfow.dll这个就只有F-port。
chrome 主页被劫持,每天首次打开chrome都会进入2345的界面,求助解决办法?https://www.zhihu.com/question/21876153
默认排序?
王金耀
王金耀
好单机游戏,做软件测试
77 人赞同了该回答
---------2016-3-3更新如下----------
一、建议遇到此问题的大家先用杀毒软件扫描C盘,不要使用半吊子的360、电脑管家和我以前有提到的火绒,也不要使用国内流氓的杀毒软件如瑞星、毒霸等,建议用卡巴斯基等收费杀毒软件(可以试用的)。
原因在于:
1.我的电脑之前通过如下方法解决了首页被劫持问题后,没有杀毒,今天杀毒杀到两个木马。
2.劫持首页已经是黑产的一部分了,因为有利可图所以有无数人变着法地劫持,道高一尺魔高一丈,已经出现专为劫持首页的病毒,我们不知道除了这个表面的劫持动作外是否还有后台的其他动作。
二、如果一定要自己动手,建议不要用半吊子的方法来查杀,直接看这个解答为什么 Chrome 浏览器的主页会被篡改为 hao123 ?遇到这种情况需要如何进行修复? - dll 其他方法包括我的方法基本都是治标不治本的,而且大家的现象都不太一样。另外这个回答里提到的工具大部分是微软官方可以找到的。
---------2015-5-5更新如下----------
更新利用自启动劫持的情况,现象有:
1.浏览器被自动添加到快速启动栏(或桌面)并被修改主页,删除快速启动栏图标重启电脑后无效。
2.浏览器只在第一次启动时打开特定页面,其余时候表现正常。
原因是:劫持者使用系统任务计划或者自启动程序,在开机或其他特定时间启动劫持程序(一般是批处理,也可能是注册一个服务来完成劫持)。劫持程序可能会在运行后删除自身以防止被发现,也可能运行后生成另一个劫持程序进行劫持操作防止被发现(我都遇到了 )。
解决办法:1.运行msconfig,找到系统自启动项,禁用陌生的自启动项。都陌生的,请禁用全部自启动项,如果解决了再一次解禁一部分自启动项来定位有问题的自启动项。
2.运行taskschd.msc打开任务计划程序,定位问题方法同上。
3.如果是被注册成系统服务的,请用杀毒软件查杀,自己如果查错了可能会造成很麻烦的后果。想自己动手的注意查看服务项名称重复的和服务项介绍很少的,劫持首页的服务项会伪装成系统原生服务。
4.如果有一个好工具,请直接监视系统目录全部改动,直接定位到劫持程序的位置删除之。
---------原答案如下----------
刚刚解决了这个问题,多谢
@空月
提供的链接,多谢大神
@想了好久
在另一个问题里提供的答案,问题是 chrome 主页被篡改为hao123?技术宅带你层层深入破之 - dll 。这里已经讲得很清楚了,我只是按照这里的原理提供一个大家看得懂的解决方案。
解决的问题是:Chrome IE Firefox或者其它浏览器首页被篡改且无法通过修改主页的方式修改回来。
解决步骤:
有一部分人只是桌面的快捷方式被篡改,请右键桌面上的快捷方式查找到文件的安装目录,尝试从安装目录双击启动浏览器,如果首页正常说明是快捷方式的问题,删掉快捷方式重新生成一个快捷方式到桌面就解决了。
如果上述未解决,请尝试从任务管理器里面运行浏览器程序,如果首页仍然被修改说明浏览器程序有问题,建议重新安装。
如果用任务管理器运行后首页就恢复正常了,说明问题很可能跟explorer进程有关,那么先看C:\Windows下面的explorer.exe程序有无异常,比如修改日期是否异常,有问题的话建议找相同系统的电脑上拷贝一个explorer.exe文件,或者直接重装系统。
如果explorer.exe也无问题,那么看进程钩子有无异常,一般是DLL文件出问题,不用会看代码什么的,我是用火绒软件里面的“火绒剑”功能查看的,用钩子扫描扫描explorer.exe进程,我在目标位置这一栏会有一条指向2345.lc文件的,按着这个路径在电脑找到这个文件并删除即可。
如果以上都未解决,那么看有没有奇怪的自启动项,或者是奇怪的进程,禁用或关闭后试试。
知乎用户
24 人赞同了该回答
前几天刚中了一招,立刻修改了Chrome主页设置和注册表,但直到今天才得以真正解决。打开桌面上的Chrome快捷方式没有问题,但是工具栏的快捷方式反复解锁、锁定,打开都是2345网址导航流氓主页。最后的解决方法是:1.搜索“quick launch”关键字,找到修改时间最新的文件夹,进去发现正常快捷方式被隐藏,鸠占鹊巢的是修改过的lnk。不用说,直接删掉恶意文件,恢复旧主。2.开始菜单记忆的常用lnk也被恶意修改。想改回来,发现没有权限,懒得再弄,直接删掉。3.重新搜索chrome.lnk,发现反复解锁、锁定时留下不少余孽,删掉。4,修改hosts和防火墙设置,永绝后患。
归纳起来,2345的流氓技术主要有如下一些:
1.修改注册表、lnk文件,这个众人应该都比较熟悉了,仔细清理无遗漏即可;
2.WMI列表驻留,算是高级手段,但被讨论的次数不少了,无需多说;
3.修改Chrome扩展中的js脚本,注入恶意内容;中招者有必要注意"Users\用户名\AppData\Local\Google\Chrome\User Data\Default\Extensions"文件夹,里面都是扩展,每个扩展文件夹内(包括子文件夹)的所有background.js文件都要仔细检查,被注入了恶意代码的扩展最好重装。
有微软的工程师说过,2345的手段比较隐蔽,只有在Win操作系统安全机制有明显改进的情况下才可能真正受到抑制。所以我觉得,多借助系统的权限控制、安全软件的不受欢迎程序检测功能、HIPS软件等强力手段,才能真正打死这只过街老鼠。
==========================================================================
人蠢是没有办法治的。昨天晚上下载一本电子书,NOD32没有任何反应的情况下,桌面突然多出了一个"淘宝网.exe",系统托盘出现“2345在线安装工具”的提示,于是明白竟然又掉坑里了,所以还是有必要补充一点。
这一次,打开chrome浏览器,主页被篡改成了“http://www.2345.com/?26510”。查看浏览器设置、注册表和快捷方式,无任何问题;background.js脚本和WMI也无任何异常。于是就傻眼了。
在
@王金耀
朋友回答的启发下,将chrome.exe重命名为1.exe,打开后主页是自己设置的baidu,于是判断,这次问题也可能出在隐藏的病毒文件上。使用Process Explorer对chrome.exe进行查看,发现这些流氓网站还是喜欢互相借鉴的:
对于Win10 64位系统,Ollydbg的运行似乎有些问题,于是指望不上它来寻找凶手了。那么,如何
才能看穿流氓所做的一切呢?在线程序行为分析是个好东西,借助于金山火眼,对昨天下载的“exe电子书”进行检测,答主发现该程序在系统内创建了一堆文件:
经过系统内的搜索,答主发现系统目录下的其它文件要么已经不存在,要么并不是由该程序创建,内容也无可疑之处(那几个inf文件),只余那个MsImedia.sys驱动程序;至于临时文件,答主直接Ctrl+A,Shift+Del,一概清理。
找到这个MsImedia.sys之后,首先赋于admin用户组完全控制的权限,然后删除,提示正被被system使用;于是,借助于Autoruns这款工具,在“驱动”选项卡找到该项目,右键删除;重启后,主页恢复正常。删掉这个恶魔的本体之前,再看看其丑陋的面目吧:
伪装的很像是系统文件?我是Win10系统,怎么会有你Win7的自带驱动?另外,创建时间是很难改的。
以上才是这个程序的主子,祝你们早日倒闭。
119 个回答
默认排序?
想了好久
想了好久
想了好久还没想好
1,007 人赞同了该回答
前几天,突然发现默认浏览器的Chrome的主页被篡改为了hao123。每次第一次打开,都自动跳转到http://www.hao123.com/?tn=29065018_59_hao_pg这个网址。自己到网上搜了一下,试了各种方法最终还是无果,本着屌丝懂技术,神都难不住的精神决定自己破掉它。(*^__^*) 嘻嘻……
<一> 缩小包围圈
1、chrome设置?
对chrome中的启动时、外观属性都进行了修改,仍然没有解决问题。
2、快捷方式中添加了参数?
发现不管是从桌面快捷方式还是直接点击exe文件,chrome主页都被篡改。这就排除了是在桌面快捷方式中的目标栏中添加了hao123网址的缘故。哎,查看一下桌面chrome快捷方式不就得了,整的这麽麻烦。囧。
3、chrome.exe被篡改或者chrome配置文件被修改?
将chrome的配置文件和可执行文件一同拷贝到虚拟机中,擦,在虚拟机中就没问题。说明问题不在chrome身上。
那会是什么问题呢?山重水复疑无路,柳暗花明又一村。转折来了,将chrome.exe重新命名后,再打开浏览器,主页就是设置的www.google.com.hk,这样就没问题了。测试一下,将firxfox.exe重命名位chrome.exe后,主页也被篡改位流氓导航页。看来chrome.exe是个关键词啊!一个解决方案就这样诞生了,太easy了吧。但是这里面到底隐藏着什么奥秘呢?继续整!
<二>我要看代码
1. 先上第一个利刃,microsoft旗下的Process Explorer。
查看chrome.exe的主进程信息如下,亮点就在下图中。
小伙伴们一定看到了Command line下面的编辑框里有我们久违的流氓url吧。这个Comand
line是什么东东?
Windows下常见的创建进程的api就是CreateProcess,这个函数申明如下。
其中的第二个参数,就是Command line,在我们这里就是chrome.exe应用程序的参数。该api的详细介绍在http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx。
现在的问题就是这个command line是谁传递给chrome.exe进程的?弄清楚这个问题之前,先要搞清楚,windows下,双击或者右键打开应用程序时,该应用程序进程是谁创建的?查阅资料发现,通过双击或者右键打开的应用程序进程都是由explorer.exe这个进程调用CreateProcess创建的。那么,我们的流氓url Command line 就一定是explorer.exe传递给chrome.exe。看来explorer.exe有问题了。测试一下,通过任务管理器中的创建新任务的方式启动chrome就没有流氓导航了。但是通过和虚拟机中的explorer.exe文件对比,发现主机和虚拟机中的两个文件完全相同。Exe运行时不光要加载自身的.exe程序文件,还要依赖一些动态库dll。是不是dll有问题。利刃2上场。
2、ollydbg闪亮上场。
用od加载explorer.exe运行,查看所依赖的dll。
看到有几个可疑的非系统dll,QvodExtend.dll,
QvodWebBase.dll,按理说explorer.exe是不会依赖非系统dll的。想起来,网上说的卸载Qvod可以解决问题。这个怎么能说卸就卸呢?万万不可以的。
问题肯定是在调用CreateProcess之前出现的,在当前模块中查找调用CreateProcess的地方,一共有四个点,全部设置断点,然后调试explorer.exe进程?当然时调试失败了。~~~~(>_<)~~~~
但是重新加载explorer.exe运行,然后查看kernel32.dll的CreateProcess的代码发现了重要的问题。
下图就是kernel32.dll中的CreateProcess代码,尼玛不是说好了的CreateProcess将调用CreateProcessInternalW吗?这儿怎么上来直接 jmp QvodWebB.10008B90?QvodWebB你要闹啥啊!!!
看看下面这个正版的CreateProcess吧。
至此,整个流程大致出来了。QvodWebBase.dll将kernel32.dll的CreateProcessW代码的前5个字节改为了一条jmp指令,改变了CreateProcess的正常执行流程。实际上,CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注入了相应的跳转指令。
<三>深入巢穴
QvodWeb如何随explorer.exe加载,QvodExtend.dll, QvodWebBase.dll到底都做了些什么?先mark,后面接着整。
1.先看看QvodExtend.dll, QvodWebBase.dll都导出了些什么函数。
下面是QvodWebBase.dll导出的函数。可以看到有InstallWindowsHook钩子函数。
同时,用IceSword扫描时发现,QvodExtend.dll还是个BHO。
同时,测试发现如果将QvodExtend.dll重命名后,就不会出现主页被篡改,同时explorer.exe也不会有QvodExtend.dll和QvodWebBase.dll模块。由此可以推断,QvodExtend.dll随explorer.exe或者ieplorer.exe启动时,会向系统注册QvodWebBase.dll中的钩子函数,接着再是加载QvodWebBase.dll时,该dll的DLLMain入口函数会向当前进程注入Jmp指令。
反汇编QvodExtend.dll代码可以发现,注册QvodWebBase.dll中的钩子函数的代码
至此,整个过程告一段落。
解决办法就是删除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道会不会影响qvod,目前不得而知。
----------------------------------------------分割线------------------------------------------------------------------------------
QvodExtend.dll在其dll_main函数中,判断当前的模块是explorer.exe或者iexplore.exe,若两者都不是则退出;否则读取qvod安装目录下的QvodCfg.ini文件获取
QvodWebBase的版本号,找到 QvodWebBase.dll后调用LoadLibrary加载该模块(加载过程中会向CreteProcessA/W中注入代码,这个代码就是在CreateProcessInteralA调用之前修改comand line参数),接着调用GetProcAddress获得
QvodWebBase安装钩子的导出函数installwindowshook,并执行该函数,该钩子的类型是WM_CBT。整体流程就是这样。
----------------------------------------------分割线------------------------------------------------------------------------------
该实验的软件版本是QvodPlayer5.17.152.0,目前在最新版本中该问题已经解决。
Jim Liu
Jim Liu
JavaScript 话题的优秀回答者
70 人赞同了该回答
这是一种(我见过)比较新的劫持浏览器首页的方式了。它在explorer.exe上注册了一个钩子,然后劫持了主流浏览器的.exe文件名,当启动这些浏览器的exe的时候就自动带一个参数——通常浏览器的主程序都支持通过参数直接打开某个页面。
于是会发现浏览器设置里面并没有修改主页,但是还是被劫持了。
而且它其实很智障,把浏览器的exe改个名字就不会被它勾住了。
是不是这种劫持方式有一个很简单的判断方法,通过一个任务管理器(如果系统自带的不行,那就用ProcessExplorer.exe),找到chrome.exe主进程(ProcessExplorer.exe可以按树状方式查看进程,很容易找到主程序是哪个进程),可以右键查看它的启动参数,如果后面跟了流氓网站,那就是这种劫持方式了。
遇到过2次了,第一次稀里糊涂的解决了,第二次找到了解决路径。
大概就是用了一个工具(好像是火绒xxxxx吧),查看了explorer.exe被哪些dll注册了钩子,然后一眼就看出来其中一个是某恶意软件的,把那个dll找到以后删掉就行了,顺便还可以通过dll的路径和文件名判断一下是哪家的软件搞的鬼。我两次都是迅雷,口亨。
【原创】2016年新型浏览器劫持病毒——“百变导航”病毒!https://bbs.kafan.cn/thread-2041256-1-1.html
近日,互联网上又掀起了一阵新型的浏览器劫持事件。同其它劫持浏览器的病毒一样,该病毒也会恶意篡改中毒电脑的浏览器首页。但是与其它同类病毒不同的是,该病毒并不是在IE属性中篡改浏览器主页,而是当受害者打开浏览器时直接重启进程将浏览器首页跳转至病毒预设的导航网站,且导航网站多变不固定。由于该病毒是驱动级兼注入型病毒,所以杀毒软件查不到任何危险程序以及可疑启动项目。
病毒名称:“百变导航”病毒;
病毒类型:恶意推广程序;
危害等级:★★★
危害平台:Windows 系统;
首发日期:2016年4月;
病毒传播:
“百变导航”病毒主要通过“病毒下载器”或“网站挂马”进行传播,对长期未更新杀毒软件的电脑感染几率更大。该病毒入侵受害者计算机后,首先会在“C:\WINDOWS\system32”目录下创建一个名为“MsslnthalEs.dll”的病毒动态链接库,并在注册表中为其创建随机启动的隐藏服务项。然后会在“C:\WINDOWS\AppPatch”目录下创建一个以“Ke”开头后序文件名为6位随机数字组成的“.xsl”文件,并在注册表中为其设置数值数据。最后会在“C:\WINDOWS\system32\drivers”目录下创建一个名为“dump_slnthal.sys”的驱动程序,并在注册表中为其创建随机启动的隐藏服务项。
病毒分析:
“MsslnthalEs.dll”是“百变导航”病毒的主程序,主要功能用于劫持受害者浏览器主页,并拥有自我修复功能。以“Ke”开头后序6位随机数字命名的样式表文件其实是“百变导航”的病毒安装包数据库,不过该病毒的真正安装资源是以二进制代码储存在注册表中的。“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure”的分支下包含了该病毒的所有数据资源,如果将子项“Secure”全部导出为“.reg”文件,则导出后的注册表脚本文件大小为“8.70 MB”!当中毒电脑启动后,“MsslnthalEs.dll”就会读取该注册表中的数值数据对病毒二进制代码进行解析,然后将解析成功后的数据以“Ke”开头后序6位随机数字的命名方式保存在“C:\WINDOWS\AppPatch”目录下,最后对其解压重装病毒。因此,该目录下以“Ke”开头的样式表文件在每次随机启动后都会被重新命名和重新创建。由于该文件和“MsslnthalEs.dll”是相互作用的,所以如果该文件丢失,“百变导航”病毒也将无法修复自身。“dump_slnthal.sys”是“百变导航”病毒的驱动级自我保护程序,主要功能用于隐藏自身程序和加密自身程序。而且“dump_slnthal.sys”是一个持有数字证书的病毒驱动程序,导致众多杀毒软件监测到其非法行为后也会对其放行通过,可见“百变导航”病毒在隐身和防补丁以及免杀方面下了很大功夫。本次病毒驱动程序“dump_slnthal.sys”使用的是“西安信利软件科技有限公司”的数字证书。
病毒行为:
“MsslnthalEs.dll”随“svchost.exe”启动后会在“C:\WINDOWS\AppPatch”目录下创建一个名为“AcRamIe.sdb”的空间数据库文件,然后复写该文件中的数据向系统进程“explorer.exe”注入病毒代码,之后会在“C:\WINDOWS\AppPatch”目录下创建一个名为“Custom”的病毒文件夹,最后卸载自身模块。病毒文件夹“Custom”是“百变导航”病毒的数据库,其目录下的所有文件均为病毒劫持浏览器主页的配置文件。如果该文件夹丢失,病毒劫持受害者浏览器后将无法跳转至指定域名。“dump_slnthal.sys”随系统内核运行后会隐藏自身文件和病毒主体程序“MsslnthalEs.dll”,并为其进程加密,使一般杀毒软件无法读取其内存数据。“dump_slnthal.sys”的监视范围是全盘位置,如果其它目录下出现与两者同名的文件和文件夹也会被“dump_slnthal.sys”隐藏和加密。被注入病毒代码后的系统进程“explorer.exe”理所当然就成了“百变导航”病毒的傀儡进程,从而导致其自身功能也受到了一些影响。比如在中毒过程中经常会伴随着出现一些桌面自动刷新、程序自动运行、文件夹自动打开、文件夹自动关闭、按键时自动弹出删除文件和文件夹提示等一系列的界面操作异常化问题,就好像感觉被抓肉鸡一样(如果电脑中缺失“explorer.exe”,“百变导航”病毒劫持浏览器主页的能力也会丧失)。随后,包含病毒代码的“explorer.exe”便会时时刻刻监视受害者访问网络的情况。如果监测到受害者打开任何一款浏览器,病毒代码就会控制“explorer.exe”强行关闭当前浏览器窗口,然后读取“C:\WINDOWS\AppPatch\Custom”目录下的病毒配置文件,并启动系统默认浏览器将域名连接到“http://www.975186.ren/”,最后再由该域名跳转至病毒服务器预设的导航网站。由于劫持受害者浏览器的导航网站是跟随病毒服务器的域名设置变化而变化的,所以这个域名可能会成为任何一个导航网站的转接站。因此,该域名受到病毒服务器的随时设置和调动,也就造成了劫持受害者浏览器的导航网站也各不一样。到目前为止,被病毒域名转接过的导航网站有“360导航”、“hao123导航”、“MSN123导航”、“2345网址导航”等等……故而该病毒称之为“百变导航”病毒。目前(2016年5月)该病毒域名指向的流氓导航网站是“http://www.2345.com/?24384-2284”。
病毒清理:
由于在内存中被注入病毒代码的“explorer.exe”并没有被插入病毒模块,所以在“任务管理器”中结束“explorer.exe”后再重启该进程即可恢复浏览器的正常使用(此步可免)。
1:重启电脑按“F8”键进入“安全模式”。
2:删除如下病毒程序。
C:\WINDOWS\AppPatch\Custom
C:\WINDOWS\AppPatch\AcRamIe.sdb
C:\WINDOWS\AppPatch\Ke******.xsl
C:\WINDOWS\system32\MsslnthalEs.dll
C:\WINDOWS\system32\drivers\dump_slnthal.sys
3:删除如下病毒注册表项值。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dump_slnthal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dump_slnthal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dump_slnthal
“百变导航”病毒的变种比较多,感染受害者电脑后释放的病毒程序可能会多种多样,但这类病毒的危害程度和解决方案大致都是一样的。本文只是解析了一个变种的破坏行为和查杀方法,如果遇到其它变种建议使用杀毒软件更新最新病毒库后再进行查杀!