查看: 2529|回复: 13
收起左侧

[系统] Windows 必应被百度劫持

[复制链接]
AIPC永不中毒
发表于 2018-9-25 21:13:25 | 显示全部楼层 |阅读模式
所有测试用的物理机、虚拟机安装的操作系统都是从ITellYou.cn下载的原版Windows
用的DNS没问题,清空本地DNS缓存后再ping Bing.com,解析到的IP正确
所有浏览器都能打开Bing.com首页,都把Bing设为了默认搜索引擎
但是所有浏览器在地址栏或Bing.com首页搜索栏键入任何字符串后回车,地址栏的Bing.com前缀在几秒内突然变成Baidu.com
更新病毒库后的360国际版、火绒都没杀出病毒
确认不是运营商的问题,因为在出现上述问题的Windows下搭建的崭新虚拟机没有上述问题


https://pan.baidu.com/s/1a_WSPHV6X709xldVKtRrUg

推测是上面这个激活操作系统的工具导致的,因为出现上述问题的5台物理机、2台虚拟机都运行过这个激活工具
它能永久激活硬盘使用MBR分区的Win7,在Win10运行之后才知道它不能激活硬盘使用GTP分区的Windows,白搭上了Win10的使用体验

我可以暂时用www4.Bing.com替换Bing.com

求教:怎么修复如上面所述的Bing.com搜索页被百度劫持的问题


wowocock
发表于 2018-9-26 17:46:09 | 显示全部楼层
很简单,中了ROOTKIT木马,该木马挂钩PARTMGR.SYS磁盘过滤隐藏自身,导致你根本读取不到木马文件。给你的都是虚假的正常文件信息。
查杀也很简单,用360急救箱选强力模式,按提示操作扫2遍,特别是重启后点确定再扫一遍即可清除。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Eif-Hill
头像被屏蔽
发表于 2018-9-26 12:56:58 | 显示全部楼层
1、这个问题是由于百度盘所提供的激活工具造成的
2、这是rootkit,处理起来麻烦,难以确定是否清理干净
2.1 卡巴斯基的KVRT对此问题有效(不确定是否清理彻底),http://devbuilds.kaspersky-labs. ... atest/full/KVRT.exe
3、建议格盘重装系统
4、请不要使用这些来路不明的kms激活工具,就算源工具不加料,后续传播过程也会被加料混淆其中
5、建议使用kms和谐方式激活系统或office,详情参阅@天蓝色的忧伤 大佬帖子:https://bbs.kafan.cn/thread-2095954-1-1.html
6、火绒查杀能力一般(不止火绒,国内一众货色都是这个鸟样,对这类破解、激活、捆绑下载器大多开绿色通道)
open1
发表于 2018-9-26 14:44:38 | 显示全部楼层
自己的电脑就重装吧,节约时间点。杀软永远比病毒木马慢一拍
wowocock
发表于 2018-9-26 18:23:30 | 显示全部楼层
见上,用360急救箱强力模式扫描即可。
随便注册
发表于 2018-9-26 18:46:48 | 显示全部楼层
真正的Oem7F7只有881K,也只能激活到Win7
MD5:2B13B58CCBB7F3CE02C9BF957F7F529E

恶心的百度,中秋大更新是下载必须登录
AIPC永不中毒
 楼主| 发表于 2018-9-26 20:01:55 | 显示全部楼层
wowocock 发表于 2018-9-26 17:46
很简单,中了ROOTKIT木马,该木马挂钩PARTMGR.SYS磁盘过滤隐藏自身,导致你根本读取不到木马文件。给你的都 ...

感谢,刚解决了这个问题

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-9-27 10:28:58 | 显示全部楼层

楼主是用那个工具激活后才装的火绒吧,否则激活时就会报毒,直接报的内核病毒Rootkit 。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-9-27 10:36:04 | 显示全部楼层
www-tekeze 发表于 2018-9-27 10:28
楼主是用那个工具激活后才装的火绒吧,否则激活时就会报毒,直接报的内核病毒Rootkit 。


如果已使用过那个激活工具才装的火绒,确实无法查杀,但还是可以用专杀工具清除。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-9-27 10:52:02 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-9-27 12:59 编辑

@wowocock 大佬说的很对,这个NDIwNW.sys挂钩/劫持了partmgr.sys,用完激活工具才装杀软为时就晚了,可能得用专杀工具才能对付了。。。6楼朋友说了,真正的Oem7F7只有881K,而你那个工具却有7M,显然加了很多料,把正宗的Oem7F7给你吧,下载后可以对比下6楼给的哈希,这个真货不会加驱也不会联网。

sorry,版规不准发激活工具,只好删了。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 13:16 , Processed in 0.134503 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表