U盘魔术师（USM）PE装系统被篡改主页和搜索引擎

单黑林

因为要装两台电脑，处理器、硬盘啥的都不一样，想着 USM 兼容性好，而且官网标红加粗写着没有流氓行为、不修改主页，就偷懒省事用它了

以前我也用过，没出过问题，不过以前用的都是我自己下的 WinSetup 那个装系统。昨天也是为了偷懒就直接用它自带的“安装系统（SGI）”，方便是挺方便，还会自动安装好驱动，但装完都发现 Edge 浏览器主页被篡改了，搜索东西的时候又发现网址有跳转，跑到设置里一看连默认的搜索引擎都被删光了，只保留了一个被篡改的所谓“百度搜索”

我确认系统 ISO 绝对没问题，用迅雷下的原版 ISO，而且第一次发现后为了排除 ISO 本身不干净，又换了 LTSC 的 ISO，下完以后校验也都对的
所以绝对是这个 PE 搞的鬼

手动改掉主页以后倒是没有再被改回来，我也检查了快捷方式没问题。但是我升级 Edge 后（系统内置 94 版本，升级到 104），又被篡改了，感觉是有什么程序监听着 Edge 的目录一样

用 360 的主页修复、360 急救箱、卡巴全盘扫描、360 强力模式扫描都啥都扫不出来
还有什么办法能搞定这玩意儿吗...


---更新---
几个月过去了，这个篡改我还是没有清除干净，我是万万没想到，我自己装的chrome，普通模式没问题，无痕模式还是给我篡改了，网址如图，跳转的极快，要不是我断网了我还真截不到图。这个网址在注册表里根本搜不到，chrome设置里也根本没有这个搜索引擎，我很纳闷他到底怎么劫持的？？？

落华无痕

单黑林 发表于 2022-9-1 14:35
他们家体积大也是因为兼容的机器和系统比较多，不只是老机器，也有新机器
我还记得Intel 11 代刚出来的 ...

篡改浏览器：360安全浏览器、360极速浏览器、360 极速浏览器X、猎豹浏览器、QQ浏览器、Edge浏览器、Chrome浏览器、世界之窗浏览器6、遨游浏览器、搜狗浏览器、Opera浏览器。似乎还修改爱奇艺的。
测试了下是windows目录下一个crun.exe+broscfg.dll篡改的。具体命令行参数如下：

1. %SystemDrive%\Windows\Crun.exe DEL N3 J L Q G T E M S O I

复制代码

单黑林

更新一下，大家真的不要再用这个PE了，两个月过去了我以为我清干净了，结果今天chrome开无痕模式，居然又被篡改了，详情更新在主楼了。明天就重做系统，nnd

360Forever

看看注册表,说不定是劫持

单黑林

360Forever 发表于 2022-8-29 15:36
看看注册表,说不定是劫持

有啥方向吗，Edge 相关的注册表？

360Forever

单黑林 发表于 2022-8-29 15:37
有啥方向吗，Edge 相关的注册表？

1.先看看你edge快捷方式属性里.exe后面并没有360或者其他乱七八糟的东西
2.进注册表找一下有没有跟你主页相关的东西,在搜索框中输入劫持首页的网址，然后点击查找，删除所有找出来的项、值。
3.安全申明:建议先备份一份

360Forever

单黑林 发表于 2022-8-29 15:37
有啥方向吗，Edge 相关的注册表？

以下来自微软社区问题:Microsoft Edge网页被劫持
解答:
欢迎咨询社区！我是Chen Pondsi-彭迪斯（姓陈）。
若是有第三方的安全软件，例如360，电脑管家，联想管家等，建议打开查看是否有锁定浏览器的功能，请先关闭。
若是无法确定， 建议执行一下干净启动：
https://support.microsoft.com/zh-cn/help/929135...
先卸载设备中全部的第三方反病毒软件与系统优化软件 (例如 360、360桌面、腾讯电脑管家、腾讯桌面、鲁大师，代{过}{滤}理，加速器，虚拟机等)。
然后右击开始菜单---运行，输入 ：
msconfig
回车
服务----勾选下面的“隐藏所有 Microsoft 服务”--------点击“全部禁用”。
（若是设置了pin密码，请把IPsec Policy Agent设置为开启/自动，这是Microsoft 服务，前面隐藏了Microsoft 服务，因此正常情况下是看不到的，若是没有看到，无须特意关注。）
然后鼠标右击任务栏------任务管理器----启动-------将所有的启动项全部禁用。（逐个右击启动项，选择“禁用”）
然后重启电脑（不是关机再开机，得选择“重启”）
然后打开安全中心，病毒和威胁防护，勒索软件防护设置，进入后打开开关，添加c盘。
然后早任务栏搜索框输入 注册表，打开，
（修改注册表有风险，请先备份）
搜索该网页的关键词，把找到的都删除。
然后鼠标右击左下角开始按钮-------"Windows PowerShell(I)"（管理员)(A ），输入：
（建议复制粘贴，逐条输入，防止遗漏。）
Dism /Online /Cleanup-Image /ScanHealth
回车
Dism /Online /Cleanup-Image /CheckHealth
回车
DISM /Online /Cleanup-image /RestoreHealth
回车
sfc /SCANNOW
回车
然后打开Edge，点击右上角3个点，设置，重置设置，还原其默认值，
在设置一下需要的主页。
重启电脑。
48小时内没有新的回复，我将无法再收到回复提醒

单黑林

360Forever 发表于 2022-8-29 15:48
1.先看看你edge快捷方式属性里.exe后面并没有360或者其他乱七八糟的东西
2.进注册表找一下有没有跟你主 ...

快捷方式检查了，第二条感觉有用，不过我已经把主页和搜索引擎改回来了，没有特意去记住那个网址...
只能等下次被改再查了

360Forever

单黑林 发表于 2022-8-29 16:06
快捷方式检查了，第二条感觉有用，不过我已经把主页和搜索引擎改回来了，没有特意去记住那个网址...
只 ...

好的,谢谢

单黑林

360Forever 发表于 2022-8-29 16:08
好的,谢谢

哈？老哥你是不是说反了，该我说谢谢吧

360Forever

单黑林 发表于 2022-8-29 16:13
哈？老哥你是不是说反了，该我说谢谢吧

没关系,你们经验比较多,我还需要多学习

Gan-aww

usm我是在用的，反正我用原版iso是没有这种情况的
但是版本我也挺长时间没更新了，这种情况如果真的不是镜像问题。
如果没装乱七八糟的也不应该改啊
可能出在pe上
反正现在写着无捆绑，鬼知道背后整什么暗箱操作