笔记本电脑:联想拯救者
原因:头一天晚上通过网页看了个电影,结果屏幕有个黑屏框一闪而过,貌似运行了一个批处理,当时感觉有点诧异,视频有毒? 到时临近12点了,没时间细查,想想应该没那么背吧,我电脑了本运行了联想自带安全管家,就没多想洗洗睡了。结果第二天到公司时,打开谷歌浏览器时,主页被改成了:https://www.2345.com/?39837 ,乍一看,我去,还不如猛地一看,怎么变了主页2345这个网址了,当时想坏了,中毒了,浏览器被劫持了
一直以为自己中毒了,然后网上各种搜索,什么浏览器被劫持、主页变成2345网址什么的,一搜一大片,还有几个时间也是新的,还以为什么大面积中毒呢
结果首先按度娘里找的,看快捷方式、注册表什么的,依样来了个遍,不行,没有效果,然后有说升级浏览器的,好吧,升级一次,结果依旧,不知道是不是旧版本进程被占了,连旧版的文件都没删掉。
真不想为了这个重做系统,有用户说替换文件名,让病毒找不到这个文件就好, 就此也尝试一下,结果还真行
但这个治标不治本,连好多其他关联的快捷方式都需要更改,编程软件中指向的浏览器地址也需要一起修改,对于强迫症来说,太麻烦了。
然后网上各种搜索,有说是中毒了,要使用杀毒工具中的系统修复,随后又安装了360、小红伞、火绒等杀毒软件,统统都全盘扫描,毛线都没查到,也有介绍说使用火绒的 专杀小工具试试,结果也啥都没发现
根据谷歌相关配置:chrome://version ,看到命令行这里多了一个标识的2345的网址:https://discovery.lenovo.com.cn/home/2345/v1/c2
ps:其实这里已经体现出问题了,但我目前没明白过来,处理完之后才后知后觉
当时只看到2345这样的关键字,当时第一反应是,2345成联想旗下网址了??
这时又查到一些资料说可以看看谷歌启动时看是不是被注入了,又看到上面的内容,就只能往钩子方向去想,刚好火绒有自带查看钩子相关功能
通过火绒的火绒剑查看进程时,确实发现这里会莫名地多了这串url在后面,网上说使用任务管理器去启动谷歌,是不会被转入主页的,埃,啥都要尝试一下,还真没有自动跳到2345去,这下更坚定了是被注入钩子了,于是乎不停的搜索钩子、查看钩子、修复钩子、哪里有可能被注入钩子等,都差点被摸熟了
查看钩子能看到是被explorer钩子启动起来的
根据网上的描述,这里应该能查到一些奇怪的dll,所以在不停地找,打开对应的注册表、文件目录等找昨天那个时段可能被修改的文件,真是,我眼睛都看花,硬是没看到什么奇怪的dll,把可能奇怪的dll都去度娘了一边,还真是奇了怪了,啥dll都能找出说明来
一直折腾到晚上,快要放弃时,突然搜到火绒论坛上有类似情况的人好多
看到相关问题都是加他们QQ,他们远程处理之类的,当发完贴,再看看其他帖子时,这时救星出现了
顿时无语了,打开联想电脑管家-浏览器防护
顿时,扑街,我丢,这里还真是
全部关闭后,再重新打开谷歌,顿时清净了
尝试了N中方式,总算解决了,着实被坑了,总结:
1、替换快捷方式法, 黑客技术也会随着时代发展,这种方式已经无效
2、更改谷歌名称法,可行,但对于强迫症总感觉别扭
3、更改命令行,chrome://version 命令行复制出来去掉网址覆盖快捷方式的目标,尝试过,无效,也只能对付低级别注入
4、使用谷歌安装目录的 chrome_proxy.exe 清理并重置,然后替换快捷方式,也无效
5、谷歌浏览器设置自定义主页,无效
6、卸载2345相关的软件,如毒霸、2345看图王等,但我电脑没有安装这类软件
7、杀毒软件,360、小红伞、火绒,都无法查出来,可能我电脑根本就没毒(嘻嘻~~~)
网上搜索到,这种注入操作完全可以绕过杀毒软件,包含火绒,所以还是不要裸奔上网
8、设置hosts法:没有尝试过,但网上也有相关资料,打开浏览器清除所有cookie、缓存等,再将被劫持的网址设置在hosts文件里,如 12x.xxx.xxx.xxx www.2345.com ,重新打开浏览器
这时会出现您的网址不是安全的,点击继续前往,就会出现浏览器修复的主界面(有兴趣的朋友可以试试)
9、使用火绒剑确实能查到一些很多对象,也能帮着优化一些性能,但不建议这么操作,弄不好电脑都要崩溃,可以去发帖寻求专业人士的帮助
想起昨天那个黑框到底是什么,是不是那个导致了我的联想管家自动设置了呢,我特意查了下那个时间段的事件
看了半天也没查到啥,白瞎忙活[捂脸]