1
jhaohai 2016-06-16 21:02:12 +08:00 via iPhone
居然在 360 报警,不知道流氓头子是谁嘛
|
2
Gua 2016-06-16 21:03:24 +08:00
我一般是 win10 一键还原~
|
3
vtoexshan OP http://bbs.guanjia.qq.com/forum.php?mod=viewthread&tid=4679493&page=1
http://bbs.360safe.com/thread-7041630-1-1.html @jhaohai 看,就是这里,,, 6789 。 com 这是哪路神仙搞得嘛,何苦呢,能折腾几天 |
4
Laynooor 2016-06-16 21:32:43 +08:00
是直接访问 6789 这个网站后,就被篡改了么?
开了平时用的 Windows 10 虚拟机,里面只装了 QQ ,百度云什么的。 使用 Edge 、 Google Chrome 、猎豹浏览器访问后均无被篡改的情况。 |
5
Laynooor 2016-06-16 21:34:14 +08:00
感觉应该是电脑上什么软件纂改的…单纯访问不可能有纂改的黑科技吧…
|
6
tobyxdd 2016-06-16 21:36:36 +08:00
不会是 ISP 劫持吧
|
7
vtoexshan OP @Laynooor 你说的有可能,已经有两天了,,,,但记不起来做了什么操作 or 装了什么软件,,,好像装了个 mactype , wincap ,后面就出现了,,,现在怎么清理,感觉挺顽固,重装了 chrome ,,新装了搜狗,,很快就被上身了,,,进程里面也看不出异样
|
8
vtoexshan OP @tobyxdd 经提醒,查看了网络连接 dns 被改 123.125.81.6 ,查路由器 dns 被改 61.146.155.184 ,等下 继续观察,,,,冷汗
|
9
vtoexshan OP dns 改好了,还是老样子,,,
|
10
helloSwift 2016-06-16 22:03:59 +08:00
你是安装了什么软件吧,不可能访问了这个网址后就被篡改的
|
11
vtoexshan OP @helloSwift 没有主动访问过这个网址,,,至于装软件,现在从卸载里面看不出有问题软件存在啊,当然流氓肯定要隐藏起来的
|
12
xia0chun 2016-06-16 22:14:47 +08:00 1
|
13
Gua 2016-06-16 22:22:19 +08:00
一般情况是安装破解游戏流氓的。
|
14
vtoexshan OP |
15
vtoexshan OP @Gua 在 6.月 12 日确实装过唯一一款游戏,刚刚已经删了,还是不行啊,找不出流氓的文件夹,,,, v 站贴图也不方便看任务管理器
|
17
rssf 2016-06-16 22:38:56 +08:00 via iPhone
format c :
|
18
XianZaiZhuCe 2016-06-16 22:41:17 +08:00
mac 保平安
|
19
clino 2016-06-16 22:42:27 +08:00 via Android
换系统
|
20
isnowify 2016-06-16 22:43:06 +08:00 via iPad
还原点有做吗?
正常 install 都会给做的 |
21
helloSwift 2016-06-16 22:45:21 +08:00
@vtoexshan 重装吧,如果是我,我肯定重装,心里好受点
|
22
vtoexshan OP @Gua
@rssf @XianZaiZhuCe @clino @isnowify @helloSwift 还原早关了,哎,,,再等几天,看看有哪位神仙有办法,,,,, ps ,路由器和连接里面 dns 被改,算严重的安全问题吗,可怕吗?以前都是听说,这算头次遇见了 |
24
holoto 2016-06-16 23:07:25 +08:00
用 360 系统急救箱扫描下 就 OK 了
|
25
fangxing204 2016-06-16 23:07:50 +08:00 via Android
改下 host 行吗
|
26
vtoexshan OP |
27
luckyduck 2016-06-16 23:39:09 +08:00
这个和浏览器没有关系,是因为覆盖了你系统的 socket dll 文件,所以任何应用(包括你写的程序)发出的 http 请求都可以被拦截。
|
28
lililala 2016-06-16 23:41:04 +08:00
重新下别的版本的系统。
|
29
yeyeye 2016-06-17 01:10:55 +08:00
autoruns
|
31
nvidiaAMD980X 2016-06-17 07:04:01 +08:00 via Android
不要相信任何锅内的安全软件!!!!
|
32
dixyes 2016-06-17 07:16:14 +08:00 via Android
这是要 sfc 和 dism 一起来一下?( win7+
|
33
Halry 2016-06-17 07:32:03 +08:00 via Android
肯定是电脑里面还有流氓才会这样子的,你试下别的国外杀毒软件呀。
360 ,毒霸这些的只要交了保护费你的 adware 就能通过 |
34
ThreeBody 2016-06-17 07:50:07 +08:00 via Android
@vtoexshan 这个情况明显是有进城守护的,各位流氓都查不出,以前 xp 有 icesword 就很方便直接就能查看各种挂钩,现在不知道有哪些了
你的路由 dns 被修改,一般都是因为路由默认密码没改导致的,不要用默认密码,不要用简单密码就好 |
35
dashnier 2016-06-17 08:06:04 +08:00 via Android
改注册表锁定主页,更改注册表拥有者权限,更改只读。确认快捷方式路径后面有没有奇怪的链接。
以上, |
36
guizer 2016-06-17 08:36:23 +08:00 via iPhone
临时解决 改 hosts ,但是 ss 一类的不走 hosts ,还是重装简单。
|
37
lechain 2016-06-17 08:39:52 +08:00 via Android
Linux 大法好…曾经被 Windows 上的浏览器流氓劫持搞得耐心尽失…后来这成为我放弃 Windows 系统的根本原因之一
|
38
youxiachai 2016-06-17 10:28:31 +08:00
玩破解了吧...?
|
39
vtoexshan OP @ThreeBody 路由用户名确是默认的,密码改过 9 位纯字母强度不足…………冰刃以前用过,看了下好几年都没更新了
@youxiachai 运行过唯一一个游戏,不用安装那种,弹出来一个运行界面,有打补丁按钮,运行按钮, xx 按钮。。。。 各位大神,现在怎么从进程倒查到文件呢 |
40
Midnight 2016-06-17 11:18:10 +08:00 1
到注册表里搜索下,我昨天也发现被一个网站篡改了注册表,然后跳转到搜狐的一个导航网站去了
|
41
icedx 2016-06-17 11:24:17 +08:00 via Android
|
42
youxiachai 2016-06-17 11:45:47 +08:00
@vtoexshan 原来是这种啊....我建议你不用折腾了....备份重装吧....
|
44
Midnight 2016-06-17 13:15:14 +08:00
|
45
BlueFly 2016-06-17 13:29:45 +08:00
没有一个人说到点子上,不就是你安装软件时候,夹带了“大礼包”给你。
卸载流氓软件、卸载病毒、卸载木马,就是了 随便找个小软件,扫描一次系统的情况的 Log (包括各启动项、各服务项、各计划任务、文件关连等等),把 Log 帖出来,自然就一清二楚。 |
46
BlueFly 2016-06-17 13:35:34 +08:00
没有一个人说到点子上,不就是你安装软件时候,夹带了“大礼包”给你。
卸载流氓软件、卸载病毒、卸载木马,就是了 随便找个小软件,扫描一次系统的情况的 Log (包括各启动项、各服务项、各计划任务、文件关连等等),把 Log 帖出来,自然就一清二楚。 |
47
ThreeBody 2016-06-17 14:28:50 +08:00 via Android
@vtoexshan 现在冰刃开发者被 360 招了,也就停止更新了,后来说出了另外一个,但是我运行会蓝屏就算了。
你把那个游戏的下载地址发一下,我有空去试试 |
48
kokutou 2016-06-17 14:31:44 +08:00
autoruns 查一下就行了。。。
|
49
vtoexshan OP |
50
Fedor 2016-06-17 15:31:11 +08:00
注册表、启动项、服务、相关目录、可疑进程
清理之 |
51
nullp 2016-06-17 18:30:52 +08:00
注册表 扫描应该无果的 因为都是做跳转的。用 autoruns 扫下 或者 SpybotSDPortable.exe
|
52
cfans1993 2016-06-17 19:47:48 +08:00
1.两个月前中了小马激活,主要是 WMI 事件(定时给你的主页设置一下)
乌云上找的详细在这里 http://drops.wooyun.org/papers/15075 2.当时还比较简单,删除 c:/window/OEM.exe 用组策略锁定主页(组策略的锁定优先级很高) http://jingyan.baidu.com/article/d3b74d64a150611f77e6092c.html 3.然后用 WMI 工具查找那个定时更改主页的 WMI 事件,删除掉.由于组策略的原因已经没法再更改我们自己设置的主页,但不删除的话,快捷方式还会被加个小尾巴 |
53
vtoexshan OP 搞定了,装 360 离线急救箱,急救箱杀死一个 sys ,手动在 drivers 下看到一个 16 号创建的 sys 不顺眼,粉碎
然后,现在就清净了,,,,,,希望不再复发 |
55
aprikyblue 2016-06-17 23:54:33 +08:00 via Android
开注册表访问监控,浏览器相关表项
|