精睿(vc52).网络安全

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

搜索
查看: 22849|回复: 33

[求助] 碰到一个真正疑难的浏览器劫持,,,求专业指导

  [复制链接]
发表于 2016-10-22 00:48 | 显示全部楼层 |阅读模式

马上注册,查看更多内容,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册

x
本帖最后由 oroute 于 2016-10-22 00:53 编辑

今天手贱,在本论坛下载安装了两个软件
http://bbs.vc52.cn/thread-765151-1-1.html
http://bbs.vc52.cn/thread-765092-1-1.html
不知道是哪个中招了,浏览器启动就打开hao524.com,然后跳转到hao123.com,IE和傲游同时中招,一个老版本的TT却没有被侵犯。


我本人就是it,一般的手段我都知道,折腾了几个小时,实在是没招了,上来求专业指导,,,
1、浏览器设置没有被改变,包括选项,首页,start page,注册表里没有网址相关内容
2、不是快捷方式篡改
3、没有可疑启动项和服务
4、wmi也查过,禁用wmi和wmi tool检查都不解决问题









 楼主| 发表于 2016-10-22 01:17 | 显示全部楼层
本帖最后由 oroute 于 2016-10-22 01:21 编辑

后续的尝试遇到一些有趣的现象,,,

试着将iexplore.exe重命名,提示权限不足,需要trust installer,这个可能不是病毒的问题,是系统保护,因为重命名傲游的执行文件是成功的。
不能重命名也没关系,原目录下直接复制了一个执行文件,然后改名。
改名和重命名的文件可以正常运行,没有劫持现象,,,

那么劫持是锁定特定目录的特定文件名的,并且劫持脚本或者程序一直在后台运行才能随时劫持,,,一直运行但用一般手段查不到,怎么看都像是wmi脚本,但是并不是,,,求高手指点
回复 支持 反对

使用道具 举报

发表于 2016-10-22 02:50 | 显示全部楼层
此前我中过类似的,不过是属于wmi的问题。

你说检查不出WMI脚本,那么,是否存在类似的定时(比如每半小时)疑似脚本或程序(进程)运行的行为呢?

点评

已经直接禁用wmi了都不行  详情 回复 发表于 2016-10-22 03:26
回复 支持 反对

使用道具 举报

 楼主| 发表于 2016-10-22 03:26 | 显示全部楼层
本帖最后由 oroute 于 2016-10-22 03:29 编辑
可爱爪爪 发表于 2016-10-22 02:50
此前我中过类似的,不过是属于wmi的问题。

你说检查不出WMI脚本,那么,是否存在类似的定时(比如每半小 ...

已经直接禁用wmi了都不行,太复杂的我也不大会,都是照着网上的一些说明搞搞,不知道搞得对不对就干脆直接禁用,但还是不行

点评

http://www.360doc.com/content/16/0805/18/10775667_581053427.shtml  详情 回复 发表于 2017-1-18 09:24
回复 支持 反对

使用道具 举报

 楼主| 发表于 2016-10-22 12:55 | 显示全部楼层
继续顶起
回复 支持 反对

使用道具 举报

 楼主| 发表于 2016-10-22 20:14 | 显示全部楼层
回复 支持 反对

使用道具 举报

发表于 2016-10-23 09:40 | 显示全部楼层
我也是遇到这种情况,最后没办法了只好下载了360安全卫士(让流氓对付无赖),经过一番折腾就搞定了。然后就卸了360,然后就好了……
回复 支持 反对

使用道具 举报

发表于 2016-10-27 12:25 来自手机 | 显示全部楼层
360急救箱可以搞定,显示是劫持explorer.可参考
回复 支持 反对

使用道具 举报

发表于 2016-10-28 10:44 | 显示全部楼层
好像不得行,这不是劫持,而是链接后自动定向为某搜索,之后又出现某主页。完全类似在执行个批处理文件
回复 支持 反对

使用道具 举报

发表于 2016-10-28 10:45 | 显示全部楼层
估计是下一个文件
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

手机版|小黑屋|文字版|RSS|站长邮件|精睿.网络安全 ( 鄂ICP备07005250号 )  

GMT+8, 2017-6-24 09:47 , Processed in 0.162934 second(s), 33 queries , Gzip On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表