实战主页流氓劫持

rsy

今天突然用到IE，发现主页被篡改为2345，极为恼火
进行了一系列的排查，终于解决了问题
此劫持十分的隐蔽，特此将我解决经验共享给大家
此劫持有以下特征：
1、IE的主页设置无效
2、仅IE主页被窜改
2、所有的浏览器快捷方式皆正常，无改动痕迹
3、组策略无修改痕迹，无异常
4、注册表内搜索2345，不存在任何条目
事件经过：
打开IE，发现首页并非以前设置的Hao123,而是2345
由于我安装软件极为谨慎，从未中过招，并且使用的基本上都是大公司的软件，所以先是将目光盯上了平时使用的去广告软件ADSafe
因为以前曾经有一次升级ADSafe时吧小心误点了它的锁定主页，造成主页被锁为360导航的经历，所以先打开ADSafe，查看设置，发现以前的锁定主页的相关设置已经没有了，所以决定先卸载ADSafe，再观察IE,发现无效，依旧被窜改
然后依次排查了快捷方式、组策略，发现并无异常
接着打开注册表，关键词搜索2345，发现没有任何有关条目
最后只好绝望的将IE重置，然后重启，结果依旧无效
正当我绝望之时，细心的发现2345的打开方式并非是直接跳转到2345，而是先连接的2.383ba.com这个站点，然后跳转为123.itiankong.net,最后才变为www.2345.com/?17052-2725这个页面，如果你家网速太快，可能根本就看不清
不过这也没有关系，你只需打开历史记录即可轻松查找到相关记录
此时，你只需用注册表搜索2.383ba.com即可轻松找到相关条目，然后全部删除即可
最后将该注册表条目的相关位置告诉大家
需要检查、修改的注册表项目：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage
（目前怀疑主页被窜改的原因可能是前一段使用了某PE造成的，由于无法通过推广号来定位相关人员信息，只好作罢）
就先说这么多吧，谢谢关注！

我是隔壁的小号

没有用的，我试过，如果用了2345推广包或者是其他特殊处理过的软件，注册表改不改对于主页如何都没有影响，还是流氓你。
一般必须要上组策略，还需要配合修复扫描……
我上次折腾了好久，把控制面板有的没有的锁定软件都卸载了，注册表也改了，也没有用，最后用……万能的大法解决的。

rsy

我是隔壁的小号 发表于 2015-6-14 11:31
没有用的，我试过，如果用了2345推广包或者是其他特殊处理过的软件，注册表改不改对于主页如何都没有影响， ...

控制IE的方式总共就那么几个，如果注册表都删了还没用的话，那只能说你电脑里面还有2345的相关后台开机启动后自动重新注册注册表
要不然就是修改快捷方式、劫持流量这种行为

zhang_qiabc

如果是360怎么操作，我用的是265哦，主页我设置什么都没有动
http://hao123.kuaila.com/最后跳到http://hao.360.cn/?src=lm&ls=n61f7671693真TM的流氓之极。

rsy

zhang_qiabc 发表于 2015-6-22 22:09
如果是360怎么操作，我用的是265哦，主页我设置什么都没有动
http://hao123.kuaila.com/最后跳到http://ha ...

你的浏览器是？你是指IE浏览器被窜改还是360浏览器被篡改了？
如果是IE同样可以按照我说的去做：
1、卸载导致被窜改的可疑软件，如360旗下软件或360合作伙伴的相关软件，或检查相关设置
从网上的得知鲁大师、快播、风行也有可能修改你的主页
例：

1.风行播放器劫持解决方案。
风行播放器通过给系统explorer.exe 文件管理界面进程注入DLL，拦截所有浏览器的启动，篡改启动参数的方式劫持用户的浏览器主页。
强烈建议用户不要使用这些流氓行径的软件。
如果需要继续使用，并且绕过劫持，可以通过以下方式修改。
打开风行的选项（界面右上角下拉菜单-》选项），取消勾选 “锁定用户首页导航”。
如果该选项没有勾选，可以尝试勾选后再取消勾选的方式，绕过劫持。






2.360安全卫士劫持主页解决方案。
部分地区用户反馈360也会劫持火狐的主页。
360会通过勋章等方式诱导用户安装自家的软件和锁定浏览器主页为360导航或者搜索。
如果用户被锁定，可以用以下方式修改回来。


点击 360安全卫士主页右下角 功能大全 的更多。
从更多中找到浏览器防护，如果找不到在 未添加功能中找找，点击会自动安装。


如果安装了 360浏览器，并且360的功能大全中找不到浏览器防护，那么打开360浏览器的主页设置中，找到修改浏览器主页，那个也是浏览器防护设置，会锁定所有浏览主页设置。


打开浏览器防护界面，取消勾选 上网首页防护。该功能在部分用户电脑上会劫持所有浏览器主页。
最后在弹出的提示中点击确认即可。

2、检查你的浏览器快捷方式，如桌面上的或快捷启动栏上的，看看目标的后面是不是有什么小尾巴，删除即可
3、重置你的浏览器


4、打开注册表，关键词搜kuaila、360或hao123.kuaila.com、hao.360.cn，把相关项全部删除
或检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage
查看这个目录下是否有kuaila、360的字样，有则把相关项全部删除

zhang_qiabc

rsy 发表于 2015-6-23 17:11
你的浏览器是？你是指IE浏览器被窜改还是360浏览器被篡改了？
如果是IE同样可以按照我说的去做：
1、卸 ...

我用的世界之窗浏览器谷歌内核

rsy

zhang_qiabc 发表于 2015-6-23 18:23
我用的世界之窗浏览器谷歌内核

首先请检查设置，看看设置是不是被篡改过了
谷歌系的设置主页有几种，一种设置主页，还有一个是启动时打开特定网页
还有一个就是插件也可以控制浏览器的主页，请检查是否有插件具有主页权限
或者卸载了重装再试，重装前先去除残留，注意AppData目录下的用户数据也删除了，或者你先把用户数据移动到其他位置，看看主页打开的是什么

zhang_qiabc

rsy 发表于 2015-6-23 19:55
首先请检查设置，看看设置是不是被篡改过了
谷歌系的设置主页有几种，一种设置主页，还有一个是启动时打 ...

恩好的，去弄下

独自丶飘零

- -上次都被一个驱动给改了。。。打开浏览器，，强制结束进程。。然后再弹出他的

steven_lzs

这样的行为真TMD火大！