表弟比较喜欢玩游戏,而且是喜欢使用辅助程序玩,所以需要经常修改各种码,导致电脑经常需要重装系统。最近他发现首页被劫持,无论如何都无法解决,于是叫我来看看,这里做个记录。
症状
打开新装的最新版本 Google Chrome 谷歌浏览器,发现首页已被劫持为:
http://ss1.gndh555.top/
通过问诊,告诉我他是新装的系统,仅做了系统激活和驱动安装。
诊断排查
打开微软 Window 10 系统自带的 Edge 浏览器,发现并没有被劫持。 通过谷歌浏览器设置页面查看主页设置
chrome://settings/
发现已被表弟设置为 www.baidu.com,然而关闭后打开,仍为上述劫持地址。进入高级设置,在重置并清理
一栏中选择将设置还原为原始默认设置
,重置下谷歌浏览器,发现仍旧被劫持。至此,排除浏览器问题。
右键点击桌面谷歌浏览器图标,查看快捷方式目标,发现并没有额外启动参数,排除快捷方式劫持。
进入 Win 10 系统盘 Hosts 文件目录
C:\Windows\System32\drivers\etc
发现并无有效解析规则,排除 Hosts 解析劫持。
安装火绒安全软件,分别通过火绒病毒查杀和火绒断网修复,并没有查出木马病毒以及常规网络问题。
图为执行火绒快速查杀病毒的结果。
图为执行火绒安全工具之断网修复的结果。
通过命令提示符反查该域名解析
该地址解析为jihuo.gn666.top
,IP地址为111.166.20.47
,经过查询为天津联通的IP。
那么根据解析地址的开头判断为激活的拼音,排查系统激活工具问题。
后来,又用了火绒的专杀工具操作了一遍,第一遍就发现系统驱动级木马 6 个,但是我无论如何查杀、重启、查杀、重启,始终无法解决。
最后求助火绒在线工程师,远程帮我查看。由于木马病毒的特殊性,每次重启的特征码都出现变化,让我在 PE 系统下使用copyout.bat
工具导出系统配置环境,生成system_init
文件。
幸好表弟在我这弄了个 PE 优盘,进入 PE 后,又使用replace.bat
工具将system.clean
文件导入系统。完成操作后,火绒工程师帮我解决该问题了。工程师表示目前还无法通过工具解决,会抓紧找到该问题。
而实际上缙哥哥也尝试使用各种安全工具,360系统急救箱都挂了……
缙哥哥有话说
装系统装软件,能从官方下载就尽量官方下载,实在不行也要找可信的地方下载,不要在任意地方下载安装,否则你可能被垃圾程序、病毒木马、网络劫持等围绕。
拓展阅读
- 《Window10操作系统迅雷高速下载,微软原版ISO镜像下载!》
- 《微软常用运行库下载汇总》
- 《Windows 10 正版数字权利获取 及Hwidgen工具使用教程》
- 《正版Windows 10 专业版 操作系统软件 1用户终身授权》券后348元,优惠码:dujinwin
别老想着系统裸奔,除非你能轻松驾驭系统重装、系统恢复、数据备份、软件设置等信息技术。否则你就老老实实的用火绒,适合国内的这个环境的干净安全工具。有人说 Win10 自带了,除非你懂 Win10 的策略,否则就老老实实用国产的。
是不是被改成了hao123或2345主页,那是使用盗版软件造成的。一些可以用杀毒软件恢复,但我以前遇到过不能恢复的,我后来重装系统就好了
经过测试排查,是PE系统所导致的。
我从来不用pe自带的安装器,用WinNTSetup安装没有任何捆绑软件,系统我这里有最新版的微软官方的win10(在微软官方软件:微软易升 升级win7到win10时 下载系统的目录里 复制的)你要不要,肯定纯正
我不用,我自己有。那个出问题的是我表弟……
老老实实用微软自带到工具建立还原点就行 类似的影子系统也行
因为他有特殊需求,所以要修改一些东西
这个是流氓软件的驱动劫持,下载卡巴斯基免费版清除即可
卡巴斯基牛逼