admin 管理员组

文章数量: 1184232

每次打开浏览器总是被强制跳转360导航,经历长达2年多的蹂躏,终于忍受不了这个流氓行为;于是有了这篇帖子,希望能帮助大家脱离苦海。

一   问题描述:

二  排查过程

常规排查无效(检查浏览器主页、修改注册表等)

使用浏览器过程中留意到刚开始的网址是

经过跳转才来到

所以根源在 ,再次带入到注册表进行排查依然无果。

看来不是简单的篡改,经验直觉是浏览器的执行引导文件(explorer.exe)被替换。这类文件被替换后涉及到系统权限和系统稳定,操作起来有些繁琐(找到同系统版本的explorer.exe文件进行替换,还要使用PE系统),新手劝退。

到这里犯懒了,直接上杀毒软件进行扫描,得出下面的结果:

以毒攻毒的方法在这里不奏效,换 火绒 继续扫描:

三  排查经验

病毒名称:Trojan/Injector.kl
病毒ID:259E4B15370D5BC2
病毒路径:C:\Users\Administrator\AppData\Roaming\QQProtect\QQProtectEngine.dll
操作类型:执行
操作结果:已处理,删除文件

进程ID:14880
操作进程:C:\Users\Administrator\AppData\Roaming\QQProtect\QQProtect.exe
操作进程命令行:"C:\Users\Administrator\AppData\Roaming\QQProtect\QQProtect.exe"
父进程ID:9528
父进程:C:\Windows\explorer.exe

扫描过程比较漫长,大家可以找到C:\Users\Administrator\AppData\Roaming\QQProtect\

目录,双击QQProtect.exe让杀毒程序快速发现病毒

四 处理方式

在日志中发现已经处理,但还有需要手动处理操作

处理完成后发现跳转到 送走张三  来了李四,憨! 病毒查杀后还在跳转,那就是篡改,继续排查 浏览器输入 chrome:\\version

这个参数是在浏览器执行文件的属性里添加的,回到桌面 选中浏览器---鼠标右键---属性----快捷方式--目标---删除后面的“ --flag-switches-begin --flag-switches-end ”字符串

为防止再次被修改,属性窗口切换到 常规---勾选(只读)---应用---确定

对于字符串的是360主页是hao123不一致的问题,可能是2次跳转不影响最终目的,到这里我的问题就已经解决。

补充(注册表被修改的情况)

键盘win+r----输入cmd回车----regedit回车

注册表编辑器中---编辑---查找---查找目标(键入劫持后的网址,如hao123.com)---点击查找下一个

找到相关项选中---右键---删除

五 总结

电脑中招分析:

1、系统非安装版,封装前就被篡改或植入病毒。

2、使用盗版程序需要激活工具进行激活,病毒隐藏在激活程序中。

3、监守自盗的安全软件(三百六、鲁X师、XX管家)

本文标签: 父进程 编程 操作进程

版权声明:本文标题:360主页顽固病毒_tonavit 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/p/1773750615a3565290.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。