这是一个创建于 3797 天前的主题,其中的信息可能已经有所发展或是发生改变。
装了一个百度云的限速破解补丁 然后就中招了。打开所有的游览器( ie chrome 七星 ……)都会被劫持到 http://www.2345.com/?33039 ,劫持的方式没不是在“目标”里面加入网址,但是对游览器改名就正常。通过 process explorer 观察进程 发现命令行中 变成了 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.2345.com/?33039 父进程为空。网上有说是 explorer.exe 的问题 但是直接通过任务管理器打开也还是被劫持 通过软件观察加载的 dll 也没有问题。最后还发现个并发症 hosts 文件失效 在里面加入的内容 ping 的时候根本不是那个 ip (已重启 刷新 dns 缓存)
看来这回遇到高手了
看来这回遇到高手了
 |
1
superliang 2015 年 8 月 19 日
额 虽然都不推荐 360
但是建议你装 360 然后安全模式 保证能"药到病除" |
 |
2
qian19876025 2015 年 8 月 19 日
现在我用的是 直接把浏览器的 可执行文件更改一些名字
|
 |
3
kliy 2015 年 8 月 19 日
360 以毒攻毒
|
 |
4
fanjusting OP @myleon 360 也试了 查不出病毒来
|
|
5
superliang 2015 年 8 月 19 日
@gaojingtian1234 安全模式下 360 全盘扫+360 急救箱 百试百灵
|
 |
6
vpncup 2015 年 8 月 19 日 via Android
重装系统
|
 |
7
yangyouzhi 2015 年 8 月 19 日
用 360 急救箱应该可以解决。个人觉得 360 急救箱还不错。。。
|
 |
8
shierji 2015 年 8 月 19 日 via Android
我记得有一些注册表项目 。。。以前遇到过类似的 很恶心 建议直接重装
|
 |
9
lewiseek 2015 年 8 月 19 日
我也遇到过,但上次把可执行文件改成只读,就没出过这个事了
|
 |
10
kikyous 2015 年 8 月 19 日
是不是快捷方式被改了
|
|
11
qian19876025 2015 年 8 月 19 日
|
 |
12
twitterpig 2015 年 8 月 19 日
这么毒呀~囧~话说百度云的限速破解补丁有下到没毒的吗?怎么样了,干过 2345 了木有?
|
|
13
twitterpig 2015 年 8 月 19 日
@lewiseek 改成只读影响正常使用不?
|
 |
14
tnx2014 2015 年 8 月 19 日
肯定被改注册表了,不借助工具除非你精通注册表才能知道改了哪条。
有一个方法可以试试,把文件传到火眼之类的行为分析沙盒,跟踪一下也许有可能找到被修改的地方。 避免这种悲剧的最好办法是利用系统还原,定期创建还原点,出了问题还原就可以,一般来说保护系统分区和装软件的分区就行了。 |
|
15
fanjusting OP @myleon 没用 只会把我装的一些破解软件给删掉
|
|
16
fanjusting OP @kikyous 不是 直接打开安装目录下的也被劫持 用任务管理器打开还是劫持
|
|
17
fanjusting OP @qian19876025 链接失效了
|
 |
18
gs038538 2015 年 8 月 19 日 via Android
360 以毒攻毒 百试不爽
|
 |
19
niceworld 2015 年 8 月 19 日  2
百度云的话你可以装老版本的 就不用找有毒的破解补丁了 先卸载 再断网安装 然后把安装目录下 AutoUpdate 文件里的 Autoupdate.exe 的所有权限全部取消就可以了 这样它就不能强制你更新了
|
|
21
tnx2014 2015 年 8 月 19 日
|
|
22
qian19876025 2015 年 8 月 19 日
|
 |
25
h404bi 2015 年 8 月 19 日
组策略启用禁止修改主页
|
 |
27
shengruoyu 2015 年 8 月 19 日
我记得知乎上说是注册表被改或者 dll 文件被改。珍爱生命,远离国产软件啊
|
 |
28
zjxubinbin 2015 年 8 月 19 日
IFEO?
|
 |
29
archbishop 2015 年 8 月 20 日
搜一遍注册表
|
 |
30
justpayne 2015 年 8 月 20 日
系统还原最方便
|
 |
31
Laforet 2015 年 8 月 20 日
@qian19876025 这是全局钩子监视浏览器进程,没办法防。早点重装系统好了,你不知道还有什么后门。
|
 |
32
laiyingdong 2015 年 8 月 20 日
百度云建议是找 4.6 的那个旧版 要不然就是切换成 wap 手机版找到真实地址走迅雷或者 IDM
你这是中木马了?自己找软件杀吧 估计 360 也行 http://jifen.2345.com/ 记得去找 2345 投诉 臭骂一顿 那个“技术员”应该会封号的 |
 |
33
wwqgtxx 2015 年 8 月 20 日 via Android
@laiyingdong 现在 wap 版经常不给大文件的下载地址了
|
 |
34
yakczh 2015 年 8 月 20 日
hosts 中加入 127.0.0.1 www.2345.com
|
 |
35
fireway456 2015 年 8 月 20 日 via Android
应该是改了卓面上浏览器的快捷方式指向。我上次中过招。你看看
|
 |
37
vicalloy 2015 年 8 月 20 日
查一下计划任务
|
 |
38
world 2015 年 8 月 20 日
你竟然相信 所谓的“限速破解补丁”
|
 |
39
invite 2015 年 8 月 20 日
这货现在还能存在,搞不好就是 360 自己搞的,刚出来那会就搞过这样的事情。
|
 |
40
omen 2015 年 8 月 20 日
在快捷方式上右键-属性-快捷方式-目标-看看最后是不是有个网址,有就删掉,
如果这招不管用就直接装个魔方(绿色版)打开守护功能,守护功能里有一个首页守护调成空白页就可以了。 |
 |
41
zhangchioulin 2015 年 8 月 20 日
@myleon 之前我也是被劫持,什么办法都没用,最后还是向 360 低头了
|
 |
42
jeremaihloo 2015 年 8 月 20 日
直接用不限速绿色版不久行了,打什么补丁。。
|
 |
43
gamexg 2015 年 8 月 20 日
可能是映像劫持 http://www.cnblogs.com/soli/archive/2008/10/19/1314510.html 。
也有可能 exe 文件类型直接被修改了 https://support.microsoft.com/zh-cn/kb/950505 。 |
|
44
gamexg 2015 年 8 月 20 日
Autoruns image hijacks 位置
|
 |
45
quericy 2015 年 8 月 20 日
还是系统还原吧,如果最近的一个还原点够新的话
|
 |
46
foo2bar 2015 年 8 月 20 日
之前遇到这个问题,试过了种种方法无果折腾了几个小时我放弃了,“系统还原”到了前一个还原点终于解决了 TAT
|
 |
47
pheyer 2015 年 8 月 20 日
自从用上了 Mac ,再也不用烦心这些操蛋的事情
|
 |
48
Aixtuz 2015 年 8 月 20 日
之前遇到过,用的 25 楼 策略组 搞定的。
|
 |
49
annielong 2015 年 8 月 20 日
写注册表都是简单的, 2345 这个应该是组合型的,包括自启软件、 dll 注入等多种方式混合产生作用,每次重启自动更新重新安装,
|
 |
50
fetich 2015 年 8 月 20 日
网上方法没有「重装系统」这一招么?
|
 |
51
ershiwo 2015 年 8 月 20 日 via Android
如果有还原点做系统还原可破,没有重装。之前处理过一个,系统还原修好的。
我看过一个 dnf 外挂,是靠注册表写入篡改的主页,虽然我忘了那个键值。。。。。 |
|
52
ershiwo 2015 年 8 月 20 日 via Android
@annielong 正常 2345 推广包是靠锁定主页加自启守护进程保证主页不被修改的,但是卸载或用 360 可以锁定别的主页。写注册表那种真的是恶意推广了。
|
 |
53
novaeye 2015 年 8 月 20 日
以前碰到过偷偷安装了驱动的劫持. 看看设备管理器里非即插即用驱动程序列表有没有可疑的家伙(貌似要先在"查看"菜单里选中"显示隐藏的设备").
|
 |
54
IronXiao 2015 年 8 月 20 日
@tnx2014 用 IDM 啊,前几天我看别人用百度云分享的视频,百度云说登录才能看, IDM 说我能下载下来,然后就下下来看了,当时我就震惊了!
|
|
55
tnx2014 2015 年 8 月 20 日
@IronXiao 一般的大文件不能直接用 IDM ,要解析到直接的地址才行,反正都是两步,不如用百度云。你这个例子能成功是因为 IDM 会自动解析 flash 视频流,但是一般是云转码过的,也不是源文件。换成其他类型的文件,不一定能用。
IDM 的缺点是它分割出来的文件块全部放在系统临时文件中,如果你下载超大文件在下载过程中会非常占 C 盘空间,假如你没移动临时文件夹的话,对于 C 盘过小的同学来说,最后合并文件块的过程很痛苦。 另外它的 Chrome 浏览器扩展很容易卡浏览器。 |
 |
56
Angdo 2015 年 8 月 20 日 via iPhone
记得 2345 有过添加系统驱动的例子
|
 |
59
a990567 2015 年 8 月 20 日
@IronXiao IDM 可以下载百度云 wap 的, http://pan.baidu.com/wap/home ,好像还不限速。
|
|
60
a990567 2015 年 8 月 20 日
我之前也碰到这个 2345 浏览器主页的, IE11 怎么修改过一会变回来了,最后下载一个 360 卫士,弄好了又删了 360 。。。。。。。。。。。。。。
|
 |
61
honeycomb 2015 年 8 月 20 日
这种事情可能是驱动级别的病毒
我记得 freebuf 还是乌云好像有提到过这种百度限速补丁为名的病毒 你可以去查看一下 ---------------------------- 但是最干净的办法是重装 ---------------------------- 此外,以后遇到这种需要运行未签名(总之就是不可信)软件的时候, sandboxie/虚拟机是个好东西 很多病毒见到虚拟机经常会自行停止运行(它也怕反编译) |
 |
63
yanfengzi945 2015 年 8 月 20 日
我之前也遇到这个问题,网上所有的办法基本都试过了折腾了几天最后用 HitmanPro_x64 这个软件解决了,你可以试试。 软件链接: http://pan.baidu.com/s/1hqF9fEk 密码: ua4b
|
 |
64
realpg PRO 驱动钩子,算是比较厚道的只监控指定进程名进行 hook
这样对计算机的综合性能影响小,不会啥也不干 CPU 就 20%,非常厚道了 |
 |
65
eirk2004 2015 年 8 月 20 日
中毒了,先去装个杀毒软件。再用 ARK 工具(例如 PC Hunter )排查可疑驱动
|
 |
66
zhangyh26258 2015 年 8 月 21 日 via Android
… …建议重装
|
 |
68
hellozrf 2015 年 8 月 21 日
|
 |
69
riverphoenix 2015 年 8 月 21 日
应该是改注册表了,前天刚中过百度大礼包的毒,修改注册表就好了
|
|
70
fanjusting OP @twitterpig 木有 把游览器改名 暂且用着
|
|
71
fanjusting OP @yakczh 没有用 主页被劫持的并发症就是 hosts 文件彻底失效
|
|
72
fanjusting OP @iqav 找不到
|
 |
73
wuchizhitu1988 2015 年 8 月 21 日
不懂为什么要去用这种破解
|
|
74
quericy 2015 年 8 月 21 日
油猴有百度云的助手脚本,可以绕过大文件限制而且貌似比 wap 取到的下载地址有时候还快一点,配合 IDM 简直酸爽~~~
@tnx2014 IDM 临时文件夹和下载文件夹在同一个分区大文件就会好很多,或者直接 SSD¬_¬ |
 |
75
2015813 2015 年 8 月 21 日 via iPhone
修改 hosts , yakcH 的方法有用。
|
 |
76
ytf4425 2015 年 8 月 21 日
百度云试试一个叫做“百度干净云”的东东,顺便,你能把病毒样本发上来么
|
|
77
fanjusting OP @novaeye @Angdo @qian19876025 @novaeye @honeycomb 谢谢大家 真的是驱动的问题 windows\system32\drivers 下多了个 mslmedia.sys 对应的注册表服务也有这个服务 删掉之后 世界顿时清净了 http://zhidao.baidu.com/question/873890343675646492.html?fr=iks&word=Mslmedia.sys&ie=gbk 大家以后可以参考
|
 |
78
LightQuantum 2015 年 8 月 21 日
好坑啊 2345 学会驱动了!一个流氓软件写驱动!真不要脸
|
 |
79
rootsir 2015 年 8 月 21 日
来浦东软件园 找 2345 他们解决问题
|
 |
80
JackDong 2015 年 8 月 21 日 via iPhone
额....之前金山绑定主页以毒攻毒弄好了,毒霸的绑定主页防止恶意更改还是有点用的。虽然国内这些真的很讨厌。
|
 |
81
ifishman 2015 年 8 月 21 日
@LightQuantum 并不是 2345 写的这个驱动,而是个人为了推广赚佣金写的,在 E 语言外挂界已经流传很久了, 32 位必须用这个驱动才能读写到游戏内存,这个百度破解补丁同理的
|
|
82
LightQuantum 2015 年 8 月 21 日
@ifishman 嗯,了解了
|
 |
83
raybai 2015 年 8 月 21 日
换个网络环境看看,是否是运营商劫持。
|
 |
84
Explorare 2015 年 8 月 21 日
关于限速问题,可以用 Aria2c 搭配 BaiduExporter 下载,实测无限速。
|
 |
85
stblueice 2015 年 8 月 21 日
楼主试试看这里的方法怎样 http://www.sdbeta.com/mf/2014/1128/24207.html
|
 |
86
jafer 2015 年 8 月 21 日
2345 钱多,你妹的估值都 500 亿,坑爹的还干缺德事,大家齐心协力把它祖坟给挖了。顺便问下高手,怎么样让 2345 这样的垃圾公司挂掉
|
 |
87
sky170 2015 年 8 月 21 日 via iPhone
三鹿灵以毒杀毒
|
 |
88
jadefengling 2015 年 8 月 21 日 via iPhone
@jafer DDOS
|
|
89
jafer 2015 年 8 月 21 日
@jadefengling 贴出详细操作步骤,让菜鸟都能用,最好搞成一键攻击
|
 |
90
moro 2015 年 8 月 21 日
用沙盘安装一遍病毒,你就知道他干了什么了。
|
 |
91
went 2015 年 8 月 21 日
整那么多,你可能是中招了,查看一下控制面板卸载程序里面是否有什么古怪的程序,搜索一下。我之前被偷偷安装了一个程序,会给 chrome 添加一个广告插件,怎么卸载都没用,最后在这里找到了原因。
|
 |
92
ChangHaoWei 2016 年 4 月 6 日
@quericy 不错。不过 按原理来说就是 wap 抓的 下载链接
|
Select Language