從 “http://www.yxdown.com/SoftView/SoftView_13771.html” 下載文明4 中招。下載檔案名 “yxdown.com_Civilization4_chs.rar”
現在情況是有程式監視 “C:\Users\leon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar” 檔案夾,只要把 Chrome 固定到任務欄,這此快捷方式的后面自動添加 “http://hao.*********.com” ,此字串隨機,重定向網站隨機。添加的快捷方式權限被修改。
金山衛士 毒霸 只能鎖定主頁
修改檔案權限限制訪問
這兩個方法都不能找到監視程式,解決不徹底,有高手幫我想一下如何救出揪出來這個壞蛋!
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.970353.com/
uj5u.com熱心網友回復:
你用Sysinternals里的ProcessExplorer檢查一下句柄,看看哪個行程在抓這個路徑的句柄的。uj5u.com熱心網友回復:
ProcessExplorer 不管吧;可以試試 Procmon.exe 來監控 Path 包含 Quick Launch 的操作,看哪個行程有寫入操作的uj5u.com熱心網友回復:
用 Process Monitor 監控包含 “Quick Launch\User Pinned\TaskBar” 路徑,進行 “將此程式從任務欄解鎖” 和 "將此程式固定的任務欄" 操作時,只有 exolorer.exe,MsMpEng.exe,System 三個行程對其有操作。Process Monitor 保存的檔案
https://pan.baidu.com/s/1npcWDNY-VYczTZGXfphoUQ
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
直接將復制一個 Chrome 快捷方式 到 路徑下,不會添加 網站后綴。
只有在使用 “將此程式從任務欄解鎖” 和 "將此程式固定的任務欄" 操作,才會添加網站后綴, 應該是劫持了 這兩個操作,如何找到它?
uj5u.com熱心網友回復:
在 win7 下試了下,無論是固定到任務欄,還是對已固定的修改“屬性”添加類似的引數,都沒有 System 行程的什么事兒,只是 explorer.exe 在忙乎;MsMpEng.exe 說是 mse 的個程式,算正常的吧。System 把原來的 2KB 的 lnk 檔案擴大到了 4KB 的樣子,這也符合添加那些尾巴的表現。所以,應該就是這個操作在作祟了。這個行程里的,就是些驅動/內核服務的項了,所以,應該從這方面入手;用上面提及的 ProcessExplorer 選擇了 System 行程,查看下面視窗顯示出來的模塊,有什么可疑的,尤其是公司名上有問題的,比如看著莫名其妙的或明顯不是微軟或幾大驅動公司的。
uj5u.com熱心網友回復:
dump_dumpfve.sys 0xfffff8800196b000 0x13000 C:\Windows\System32\Drivers\dump_dumpfve.sys 1970/1/1 8:00
kmodurl64.sys 0xfffff88002fd4000 0x22000 c:\program files (x86)\ksafe\kmodurl64.sys 1970/1/1 8:00
kisknl.sys 0xfffff88003640000 0x52000 C:\Windows\system32\drivers\kisknl.sys 1970/1/1 8:00
PROCMON23.SYS 0xfffff880036b0000 0x1a000 C:\Windows\system32\Drivers\PROCMON23.SYS 1970/1/1 8:00
ksfmonsys64.sys 0xfffff88003d84000 0x8000 c:\program files (x86)\ksafe\ksfmonsys64.sys 1970/1/1 8:00
ksapi64.sys 0xfffff88003dea000 0x12000 C:\Windows\system32\drivers\ksapi64.sys 1970/1/1 8:00
PROCEXP152.SYS 0xfffff8800bbf0000 0xc000 C:\Windows\System32\Drivers\PROCEXP152.SYS 1970/1/1 8:00
以上為 System 下可疑的模塊,檔案均不存在!
但是感覺非常像 https://bbs.kafan.cn/thread-2041256-1-1.html 這里講的 百變導航 變種。但是危害沒有它那么大,僅是偷改位于任務欄上的 Chrome 和 IE 快捷方式。
System 下的 模塊串列
https://pan.baidu.com/s/1bUEZRs7evcJFeUd1EnGPXw
uj5u.com熱心網友回復:
兩個 proc 打頭的是上面提及的使用到的 procmon 和 procexp 的,應該沒有問題。幾個 k 打頭的度是 ksafe 的吧,金山殺毒的?看你上面的資訊,好像系統的 mse 啟用了,這個,金山的還是清理了吧。
dump_... 什么的,看你提供的帖子里,簡直就是它了,可能是重新封裝了的;把它的驅動檔案洗掉到回收站,或驅動啟動模式為“禁用”試試?如果還是會出現驅動檔案,或恢復正常啟動模式,就是有其它的保護了。
uj5u.com熱心網友回復:
把金山卸載后,“dump_*” 開頭還有兩個檔案,“dump_dumpfve.sys”,“dump_dumpata.sys”均位于 “C:\Windows\System32\Drivers\”,但是這兩個檔案實際不存在,創建了這兩個空檔案并把所有權限禁止,重新啟動。
System 下依然有位于 “C:\Windows\System32\Drivers\dump_dumpata.sys” 的模塊加載,時間戳依然“1970/1/1 8:00:00”。但是“dump_dumpfve.sys”沒有了,快捷方式添加后綴的行為依然存在。自行創建的兩個空檔案都在 “C:\Windows\System32\Drivers\”目錄下。
驅動啟動模式???
uj5u.com熱心網友回復:
網路安全模式下依舊uj5u.com熱心網友回復:
上面那個帖子里的做法是創建同名目錄來阻止它再生成檔案的吧,總的看著好像很麻煩的uj5u.com熱心網友回復:
見7樓,現在還是找不到問題,有辦法這固定的任務欄這個操作 中斷下?一步步查?uj5u.com熱心網友回復:
關于這個問題,我有一個類似的問題,今天剛剛自己動手解決了!!你可以試一試奧。https://bbs.csdn.net/topics/392392987
轉載請註明出處,本文鏈接:https://www.uj5u.com/caozuo/96954.html
標籤:安全技術/病毒
上一篇:udp中的connect鏈接模式