缙哥哥的博客
与你分享我的点点滴滴生活

表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路

表弟比较喜欢玩游戏,而且是喜欢使用辅助程序玩,所以需要经常修改各种码,导致电脑经常需要重装系统。最近他发现首页被劫持,无论如何都无法解决,于是叫我来看看,这里做个记录。

表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路

症状

打开新装的最新版本 Google Chrome 谷歌浏览器,发现首页已被劫持为:

http://ss1.gndh555.top/

通过问诊,告诉我他是新装的系统,仅做了系统激活和驱动安装。

诊断排查

打开微软 Window 10 系统自带的 Edge 浏览器,发现并没有被劫持。 通过谷歌浏览器设置页面查看主页设置

chrome://settings/

发现已被表弟设置为 www.baidu.com,然而关闭后打开,仍为上述劫持地址。进入高级设置,在重置并清理一栏中选择将设置还原为原始默认设置,重置下谷歌浏览器,发现仍旧被劫持。至此,排除浏览器问题。

右键点击桌面谷歌浏览器图标,查看快捷方式目标,发现并没有额外启动参数,排除快捷方式劫持

表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路

进入 Win 10 系统盘 Hosts 文件目录

C:\Windows\System32\drivers\etc

发现并无有效解析规则,排除 Hosts 解析劫持

安装火绒安全软件,分别通过火绒病毒查杀和火绒断网修复,并没有查出木马病毒以及常规网络问题。

表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路

图为执行火绒快速查杀病毒的结果。

表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路

图为执行火绒安全工具之断网修复的结果。

通过命令提示符反查该域名解析

表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路

该地址解析为jihuo.gn666.top,IP地址为111.166.20.47,经过查询为天津联通的IP。

那么根据解析地址的开头判断为激活的拼音,排查系统激活工具问题。

后来,又用了火绒的专杀工具操作了一遍,第一遍就发现系统驱动级木马 6 个,但是我无论如何查杀、重启、查杀、重启,始终无法解决。

最后求助火绒在线工程师,远程帮我查看。由于木马病毒的特殊性,每次重启的特征码都出现变化,让我在 PE 系统下使用copyout.bat工具导出系统配置环境,生成system_init文件。

表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路

幸好表弟在我这弄了个 PE 优盘,进入 PE 后,又使用replace.bat工具将system.clean文件导入系统。完成操作后,火绒工程师帮我解决该问题了。工程师表示目前还无法通过工具解决,会抓紧找到该问题。

而实际上缙哥哥也尝试使用各种安全工具,360系统急救箱都挂了……

缙哥哥有话说

装系统装软件,能从官方下载就尽量官方下载,实在不行也要找可信的地方下载,不要在任意地方下载安装,否则你可能被垃圾程序、病毒木马、网络劫持等围绕。

拓展阅读

别老想着系统裸奔,除非你能轻松驾驭系统重装、系统恢复、数据备份、软件设置等信息技术。否则你就老老实实的用火绒,适合国内的这个环境的干净安全工具。有人说 Win10 自带了,除非你懂 Win10 的策略,否则就老老实实用国产的。

赞(5) 打赏
转载请注明来源及链接:缙哥哥 » 表弟笔记本电脑 Win10 系统主页被驱动木马篡改查询思路
如需 WordPress 优化加速、二次开发、托管等服务,可联系我购买付费服务:点此联系我 | 近期站内热门福利:

评论 4

评论前必须登录!

 

  1. #0

    老老实实用微软自带到工具建立还原点就行 类似的影子系统也行

    10640057273个月前 (12-06)
  2. #0

    这个是流氓软件的驱动劫持,下载卡巴斯基免费版清除即可

    AUG3个月前 (12-05)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏