被2345导航折磨了一周了

显示全部楼层 · 发表于 2013-12-8 12:12:47

2345又换新的驱动级劫持了？

显示全部楼层 · 发表于 2013-12-10 21:25:18

cobrayang 发表于 2013-12-7 21:08
把那个EXE文件档传上来我试试，，，

已经被我删除了你想要自己鼓捣一下吗我可以把下载链接给你

显示全部楼层 · 发表于 2013-12-10 21:26:46

gouzi 发表于 2013-12-7 21:20
在注册表里删除看看吧，在百度搜索通过注册表修改浏览器主页！

我删除了注册表里的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面的services 就搞定了开机也不跳出2345页面了

显示全部楼层 · 发表于 2013-12-10 21:29:23

360客服发表于 2013-12-8 09:41
楼主能否告知下exe 的下载地址呢，或者上传个样本我们分析看看。

http://yun.baidu.com/share/link?uk=791882693&shareid=2221011404 这个百度网盘的文件

显示全部楼层 · 发表于 2013-12-10 21:29:50

飞扬丶发表于 2013-12-8 08:20
在电脑里用所有你知道的搜索方法去搜索带有 2345字样的文件然后删掉

这个方法试过了没有用的 360提示是驱动级木马

显示全部楼层 · 发表于 2013-12-10 21:30:52

gouzi 发表于 2013-12-7 21:20
在注册表里删除看看吧，在百度搜索通过注册表修改浏览器主页！

按照这个路子我去注册表删除了不过晚上给的方法不适合我我自己鼓捣出来了只要删除启动项就行了

显示全部楼层 · 发表于 2013-12-10 21:31:37

子书发表于 2013-12-8 10:44
我建议装个卡巴扫描一下然后用完卸载了肯定管用

估计没戏我用Drweb 扫过都发现不了 360倒是发现了但是清除不干净每次开机又有了

显示全部楼层 · 发表于 2013-12-10 21:31:53

江南读书郎发表于 2013-12-10 21:25
已经被我删除了你想要自己鼓捣一下吗我可以把下载链接给你

http://yun.baidu.com/share/link?uk=791882693&shareid=2221011404

显示全部楼层 · 发表于 2013-12-10 21:53:35

江南读书郎发表于 2013-12-10 21:31
http://yun.baidu.com/share/link?uk=791882693&shareid=2221011404

火眼：http://fireeye.ijinshan.com/anal ... 87991072e189c3#full

MD：

2013-12-10 21:47:29 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\mp3小说打包.exe
命令行: "C:\Documents and Settings\Administrator\桌面\mp3小说打包.exe"
规则: [应用程序]*

2013-12-10 21:47:32 访问网络允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: UDP [本机 : 1034] ->  [127.0.0.1 : 1034]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-12-10 21:47:32 创建文件允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: C:\Program Files\2345Explorer_k36847292.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-12-10 21:47:35 创建新进程允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: c:\program files\2345explorer_k36847292.exe
命令行: "C:\Program Files\2345Explorer_k36847292.exe"
规则: [应用程序]*

2013-12-10 21:47:35 创建文件允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\vstar.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-12-10 21:47:37 创建新进程允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: c:\documents and settings\administrator\local settings\temp\vstar.exe
命令行: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\vstar.exe"
规则: [应用程序]*

2013-12-10 21:47:37 创建文件允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: C:\Program Files\360启动修复.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2013-12-10 21:47:37 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360启动修复
值: C:\Program Files\360启动修复.vbs
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2013-12-10 21:47:38 修改注册表值允许
进程: c:\documents and settings\administrator\桌面\mp3小说打包.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.2345.com/?k36847292
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2013-12-10 21:47:39 创建文件允许
进程: c:\program files\2345explorer_k36847292.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\2345Explorer_k36847292.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-12-10 21:47:40 访问网络允许
进程: c:\documents and settings\administrator\local settings\temp\vstar.exe
目标: UDP [本机 : 1035] ->  [127.0.0.1 : 1035]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-12-10 21:47:40 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\vstar.exe
目标: C:\Program Files\.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-12-10 21:47:40 创建新进程允许
进程: c:\program files\2345explorer_k36847292.exe
目标: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
命令行: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2345Explorer_k36847292.exe
规则: [应用程序]*

2013-12-10 21:47:42 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsb3.tmp\System.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:43 向其他进程发送消息允许
进程: c:\program files\2345explorer_k36847292.exe
目标: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
消息: WM_MOUSEMOVE
规则: [应用程序]*

2013-12-10 21:47:43 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsb3.tmp\FileInfo.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:44 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\2345Explorer.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-12-10 21:47:45 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralApp.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:45 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\Coral.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:47 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralDb.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:51 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralDownload.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:52 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralTrident.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:52 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralUI.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:53 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralUpdate.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:53 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralRender.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:54 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\StartPage.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:47:59 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralExtract.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:48:00 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralHtmlWnd.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:48:01 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\2345ExplorerReg.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-12-10 21:48:03 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\lang\CoralLang_chs.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:48:05 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\Microsoft.VC80.CRT.manifest
规则: [文件组]所有执行文件 -> [文件]*; *.manifest

2013-12-10 21:48:06 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\msvcr80.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:48:07 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\atl71.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:48:08 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\CoralUI2.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:48:29 创建新进程允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: c:\program files\2345explorer\2345explorer.exe
命令行: "C:\Program Files\2345Explorer\2345Explorer.exe" --config=destory_desktop_bubble
规则: [应用程序]*

2013-12-10 21:48:29 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Program Files\2345Explorer\Uninstall.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2013-12-10 21:49:21 修改注册表值允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\feature_maxconnectionsperserver\2345Explorer.exe
值: 0x0000000a(10)
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2013-12-10 21:49:22 修改注册表值允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Disable Script Debugger
值: yes
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2013-12-10 21:49:22 创建注册表项允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_SCRIPTURL_MITIGATION
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2013-12-10 21:49:23 创建注册表项允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2013-12-10 21:49:26 创建文件允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\nsb3.tmp\nsDialogs.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2013-12-10 21:49:31 修改注册表值允许
进程: c:\documents and settings\administrator\local settings\temp\2345explorer_k36847292.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
值: http://www.2345.com/?k36847292
规则: [注册表组]IE浏览器设置 -> [注册表]HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\*

2013-12-10 21:49:31 向其他进程发送消息允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: c:\windows\explorer.exe
消息: 0x1004
规则: [应用程序]*

2013-12-10 21:49:31 修改注册表值允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: HKEY_CURRENT_USER\Software\Classes\2345ExplorerHTML\Shell\open\command
值: "C:\Program Files\2345Explorer\2345Explorer.exe" "%1"
规则: [注册表组]系统设置 -> [注册表]HKEY_CURRENT_USER\Software\Classes\*\command

2013-12-10 21:49:32 修改其他进程的内存允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2013-12-10 21:49:33 修改注册表值允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\2345ExplorerHTML\Shell\open\command
值: "C:\Program Files\2345Explorer\2345Explorer.exe" "%1"
规则: [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\command

2013-12-10 21:50:00 创建新进程允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: c:\program files\2345explorer\2345explorer.exe
命令行:  --type=renderIE --channel=Coral.ChannelID.{EFA0B5EC-798C-4CFF-BF8C-01C2F3996518} --parent_channel=2328
规则: [应用程序]*

2013-12-10 21:50:04 访问网络允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: TCP [本机 : 1037] ->  [101.71.76.171 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2013-12-10 21:50:06 创建文件允许
进程: c:\program files\2345explorer\2345explorer.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GEBH4N3D\2345checkblock[1].js
规则: [文件组]所有执行文件 -> [文件]*; *.js

建议在卸载2345浏览器之后，依葫芦画瓢清理对应的启动项和其他恶意文件…………

显示全部楼层 · 发表于 2013-12-12 13:24:03

这个毒霸和q管都能查杀到

[求助] 被2345导航折磨了一周了