U盘魔术师（USM）PE装系统被篡改主页和搜索引擎

落华无痕

这PE体积，提不起兴趣使用。篡改的网址不发来看看？
下了个2.7g的，确实劫持。

寂寞如诗

落华无痕 发表于 2022-9-1 12:51
这PE体积，提不起兴趣使用。篡改的网址不发来看看？
下了个2.7g的，确实劫持。

这种情况还是换个PE或者不用他的sgi吧（

单黑林

落华无痕 发表于 2022-9-1 12:51
这PE体积，提不起兴趣使用。篡改的网址不发来看看？
下了个2.7g的，确实劫持。

抱歉我发帖的时候已经把能改的都改了，确实找不到网址了
你这个列表是哪里找到的呀，其实我发帖主要还是担心我没改完，毕竟一升级Edge就又被篡改了，各类杀软也扫不出来问题

单黑林

醉卧亭 发表于 2022-8-31 21:06
可惜了,你有希望成文歌手,怎么就放弃了啊

要吃饭呀...刚毕业的工作比较忙，后来工作不忙了又找到对象了，两个人的生活又比较忙。几乎没有个人时间了
而且因为工作生活的缘故，身体也发福比较严重，缺乏锻炼，现在气也比较短了，很难再好好唱了，唉

单黑林

寂寞如诗 发表于 2022-9-1 13:36
这种情况还是换个PE或者不用他的sgi吧（

他们家体积大也是因为兼容的机器和系统比较多，不只是老机器，也有新机器
我还记得Intel 11 代刚出来的时候只有他家第一时间跟进更新，支持了那个很奇葩的硬盘驱动，其他所有PE全都读不到硬盘
之后还是用其他安装器吧，这次是我省事儿偷懒了

落华无痕

单黑林 发表于 2022-9-1 14:35
他们家体积大也是因为兼容的机器和系统比较多，不只是老机器，也有新机器
我还记得Intel 11 代刚出来的 ...

篡改浏览器：360安全浏览器、360极速浏览器、360 极速浏览器X、猎豹浏览器、QQ浏览器、Edge浏览器、Chrome浏览器、世界之窗浏览器6、遨游浏览器、搜狗浏览器、Opera浏览器。似乎还修改爱奇艺的。
测试了下是windows目录下一个crun.exe+broscfg.dll篡改的。具体命令行参数如下：

1. %SystemDrive%\Windows\Crun.exe DEL N3 J L Q G T E M S O I

复制代码

单黑林

落华无痕 发表于 2022-9-1 14:52
篡改浏览器：360安全浏览器、360极速浏览器、360 极速浏览器X、猎豹浏览器、QQ浏览器、Edge浏览器、Chrom ...

感谢解答，everything 搜了下我电脑里已经没这俩文件了，之前各类杀软也没有查杀记录。奇怪了，可能重启后自己删了？好像有一些脚本是只在安装完第一次开机运行的
大神能大概讲解一下怎么找到这个篡改程序的思路吗，多谢，想学习下

另外补一下注册表，确实有很多浏览器的主页条目，而且这些浏览器我都没安装，估计这个程序是运行一次，添加注册表以后就把自己删了？

落华无痕

单黑林 发表于 2022-9-1 16:54
感谢解答，everything 搜了下我电脑里已经没这俩文件了，之前各类杀软也没有查杀记录。奇怪了，可能重启 ...

是会自我删除。至于怎么找出样本，你装个原版系统，用everything搜索系统盘，按日期排列，排除winsxs和驱动仓库路径的，剩下日期最新的就是可疑的。虚拟机建立个快照，逐一删除测试就是了。

醉卧亭

单黑林 发表于 2022-9-1 14:33
要吃饭呀...刚毕业的工作比较忙，后来工作不忙了又找到对象了，两个人的生活又比较忙。几乎没有个人时间 ...

为了五斗米而折腰，为了生活所迫，哎

单黑林

落华无痕 发表于 2022-9-1 17:57
是会自我删除。至于怎么找出样本，你装个原版系统，用everything搜索系统盘，按日期排列，排除winsxs和驱 ...

多谢指教。
这个事儿我感觉各个杀软做的也不到位，注册表主页应该很容易扫描出来吧，各类主页专杀也没杀出来