查看: 18459|回复: 13
收起左侧

[其他] 实战主页流氓劫持

[复制链接]
rsy
发表于 2015-6-13 22:12:57 | 显示全部楼层 |阅读模式
今天突然用到IE,发现主页被篡改为2345,极为恼火
进行了一系列的排查,终于解决了问题
此劫持十分的隐蔽,特此将我解决经验共享给大家
此劫持有以下特征:
1、IE的主页设置无效
2、仅IE主页被窜改
2、所有的浏览器快捷方式皆正常,无改动痕迹
3、组策略无修改痕迹,无异常
4、注册表内搜索2345,不存在任何条目
事件经过:
打开IE,发现首页并非以前设置的Hao123,而是2345
由于我安装软件极为谨慎,从未中过招,并且使用的基本上都是大公司的软件,所以先是将目光盯上了平时使用的去广告软件ADSafe
因为以前曾经有一次升级ADSafe时吧小心误点了它的锁定主页,造成主页被锁为360导航的经历,所以先打开ADSafe,查看设置,发现以前的锁定主页的相关设置已经没有了,所以决定先卸载ADSafe,再观察IE,发现无效,依旧被窜改
然后依次排查了快捷方式、组策略,发现并无异常
接着打开注册表,关键词搜索2345,发现没有任何有关条目
最后只好绝望的将IE重置,然后重启,结果依旧无效
正当我绝望之时,细心的发现2345的打开方式并非是直接跳转到2345,而是先连接的2.383ba.com这个站点,然后跳转为123.itiankong.net,最后才变为www.2345.com/?17052-2725这个页面,如果你家网速太快,可能根本就看不清
不过这也没有关系,你只需打开历史记录即可轻松查找到相关记录
此时,你只需用注册表搜索2.383ba.com即可轻松找到相关条目,然后全部删除即可
最后将该注册表条目的相关位置告诉大家
需要检查、修改的注册表项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage
(目前怀疑主页被窜改的原因可能是前一段使用了某PE造成的,由于无法通过推广号来定位相关人员信息,只好作罢)
就先说这么多吧,谢谢关注!
我是隔壁的小号
发表于 2015-6-14 11:31:26 | 显示全部楼层
没有用的,我试过,如果用了2345推广包或者是其他特殊处理过的软件,注册表改不改对于主页如何都没有影响,还是流氓你。
一般必须要上组策略,还需要配合修复扫描……
我上次折腾了好久,把控制面板有的没有的锁定软件都卸载了,注册表也改了,也没有用,最后用……万能的大法解决的。
rsy
 楼主| 发表于 2015-6-14 12:15:19 来自手机 | 显示全部楼层
我是隔壁的小号 发表于 2015-6-14 11:31
没有用的,我试过,如果用了2345推广包或者是其他特殊处理过的软件,注册表改不改对于主页如何都没有影响, ...

控制IE的方式总共就那么几个,如果注册表都删了还没用的话,那只能说你电脑里面还有2345的相关后台开机启动后自动重新注册注册表
要不然就是修改快捷方式、劫持流量这种行为
zhang_qiabc
发表于 2015-6-22 22:09:52 | 显示全部楼层
如果是360怎么操作,我用的是265哦,主页我设置什么都没有动
http://hao123.kuaila.com/最后跳到http://hao.360.cn/?src=lm&ls=n61f7671693真TM的流氓之极。
rsy
 楼主| 发表于 2015-6-23 17:11:49 | 显示全部楼层
本帖最后由 rsy 于 2015-6-23 17:14 编辑
zhang_qiabc 发表于 2015-6-22 22:09
如果是360怎么操作,我用的是265哦,主页我设置什么都没有动
http://hao123.kuaila.com/最后跳到http://ha ...

你的浏览器是?你是指IE浏览器被窜改还是360浏览器被篡改了?
如果是IE同样可以按照我说的去做:
1、卸载导致被窜改的可疑软件,如360旗下软件或360合作伙伴的相关软件,或检查相关设置
从网上的得知鲁大师、快播、风行也有可能修改你的主页
例:

1.风行播放器劫持解决方案。
风行播放器通过给系统explorer.exe 文件管理界面进程注入DLL,拦截所有浏览器的启动,篡改启动参数的方式劫持用户的浏览器主页。
强烈建议用户不要使用这些流氓行径的软件。
如果需要继续使用,并且绕过劫持,可以通过以下方式修改。
打开风行的选项(界面右上角下拉菜单-》选项),取消勾选 “锁定用户首页导航”。
如果该选项没有勾选,可以尝试勾选后再取消勾选的方式,绕过劫持。






2.360安全卫士劫持主页解决方案。
部分地区用户反馈360也会劫持火狐的主页。
360会通过勋章等方式诱导用户安装自家的软件和锁定浏览器主页为360导航或者搜索。
如果用户被锁定,可以用以下方式修改回来。


点击 360安全卫士主页右下角 功能大全 的更多。
从更多中找到浏览器防护,如果找不到在 未添加功能中找找,点击会自动安装。


如果安装了 360浏览器,并且360的功能大全中找不到浏览器防护,那么打开360浏览器的主页设置中,找到修改浏览器主页,那个也是浏览器防护设置,会锁定所有浏览主页设置。


打开浏览器防护界面,取消勾选 上网首页防护。该功能在部分用户电脑上会劫持所有浏览器主页。
最后在弹出的提示中点击确认即可。

2、检查你的浏览器快捷方式,如桌面上的或快捷启动栏上的,看看目标的后面是不是有什么小尾巴,删除即可
3、重置你的浏览器
QQ浏览器截图_20150623171034_8C3735CC4EC6498a9B29DA83BCD74423.jpg

4、打开注册表,关键词搜kuaila、360或hao123.kuaila.com、hao.360.cn,把相关项全部删除
或检查
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage
查看这个目录下是否有kuaila、360的字样,有则把相关项全部删除
zhang_qiabc
发表于 2015-6-23 18:23:41 | 显示全部楼层
rsy 发表于 2015-6-23 17:11
你的浏览器是?你是指IE浏览器被窜改还是360浏览器被篡改了?
如果是IE同样可以按照我说的去做:
1、卸 ...

我用的世界之窗浏览器谷歌内核
rsy
 楼主| 发表于 2015-6-23 19:55:34 来自手机 | 显示全部楼层
zhang_qiabc 发表于 2015-6-23 18:23
我用的世界之窗浏览器谷歌内核

首先请检查设置,看看设置是不是被篡改过了
谷歌系的设置主页有几种,一种设置主页,还有一个是启动时打开特定网页
还有一个就是插件也可以控制浏览器的主页,请检查是否有插件具有主页权限
或者卸载了重装再试,重装前先去除残留,注意AppData目录下的用户数据也删除了,或者你先把用户数据移动到其他位置,看看主页打开的是什么
zhang_qiabc
发表于 2015-6-23 20:04:32 | 显示全部楼层
rsy 发表于 2015-6-23 19:55
首先请检查设置,看看设置是不是被篡改过了
谷歌系的设置主页有几种,一种设置主页,还有一个是启动时打 ...

恩好的,去弄下
独自丶飘零
发表于 2015-7-8 11:46:46 | 显示全部楼层
- -上次都被一个驱动给改了。。。打开浏览器,,强制结束进程。。然后再弹出他的
steven_lzs
发表于 2015-7-16 22:15:01 | 显示全部楼层
这样的行为真TMD火大!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 13:21 , Processed in 0.141533 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表