浏览器快捷方式屡被更改，数种方法和搜索后仍然无解，求救！

团子

解决方法：
把所有的驱动和service文件全部替换了一次，然后把注册表用去年的一个备份恢复。
最后，好了。至少目前来说，已经2天了，没有复发。
——————————————————————————————
症状：
浏览器被劫持改为：http://h1.jiss360.cn/
启动首页会跳转到：https://www.duba.com/?un_454974_138902
查看快捷方式后：发现Chrome和IE都被修改了目标"C:\Program Files\Internet Explorer\iexplore.exe" http://h1.jiss360.cn/。


之后我将快捷方式还原正常。

在一段时间后再次被篡改。

msconfig查询启动项，数次重启，并不因此触发篡改。

用chrome打开chrome://version/
其中：
命令行        "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end
并未被改，但是——
我在寻找处理方法的时候，有一次打开chrome://version/，被篡改为后面加上了一段网址。

用PChunter查看部分结果如下：

除去Microsoft Corporation，都是迅雷、腾讯、WINRAR、英伟达、苹果、卡巴死机、以及OFFICE。

用Autoruns查看结果如下：
似乎也没有可疑地方？




（导出了explorer运行的全DLL文件名，如需要可上传）

试过手动查看注册表跟Chrome有关的项，无果。

谷歌、百度、bing、雅虎各类搜索也都试过了，看到过各种解法。
统统无效。
其中卡饭论坛也有一贴很接近我的状况：
http://bbs.kafan.cn/thread-2037071-1-1.html

但是并没有提到解决方法，其中gdata也试过了，全盘查杀，无果。

我现在….真的已经…完全没有办法了…

求救！！！

查看过explorer.exe的文件属性没有？看过explorer.exe的进程模块没？

团子

送外卖的 发表于 2017-2-21 13:16
查看过explorer.exe的文件属性没有？看过explorer.exe的进程模块没？

进程模块主贴有贴部分图，都做过了。

团子 发表于 2017-2-21 13:33
进程模块主贴有贴部分图，都做过了。

快捷方式恢复后，是否再次被修改？重启后被修改没有？mbr检测了没有？后台进程看了有木有可疑？驱动有木有可疑？

团子

送外卖的 发表于 2017-2-21 14:09
快捷方式恢复后，是否再次被修改？重启后被修改没有？mbr检测了没有？后台进程看了有木有可疑？驱动有木 ...

快捷方式恢复后，是否再次被修改？重启后被修改没有？

之后我将快捷方式还原正常。

在一段时间后再次被篡改。

msconfig查询启动项，数次重启，并不因此触发篡改。

mbr检测了没有？
你是指直接还原？如何检测是否感染

后台进程看了有木有可疑？
驱动有木有可疑？
进程和驱动一个无未知项，一个未有更新过，且从未使用过非官方自带更新。

nttwqz

已经没有办法？

你试过重装了吗？

团子

nttwqz 发表于 2017-2-21 20:09
已经没有办法？

你试过重装了吗？

我们能不能不要谈重装

风之咩~

Autoruns去WMI看看

团子

风之咩~ 发表于 2017-2-21 20:45
Autoruns去WMI看看

结果如下

海南仙岛

检查你的服务项目 service里 现在有很多恶意软件会把自己加载到服务项目里. 还有一个是检查可疑的驱动文件. 有些恶意软件会随机文件名驱动文件.