这是一个创建于 3706 天前的主题,其中的信息可能已经有所发展或是发生改变。
装了一个百度云的限速破解补丁 然后就中招了。打开所有的游览器( ie chrome 七星 ……)都会被劫持到 http://www.2345.com/?33039 ,劫持的方式没不是在“目标”里面加入网址,但是对游览器改名就正常。通过 process explorer 观察进程 发现命令行中 变成了 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.2345.com/?33039 父进程为空。网上有说是 explorer.exe 的问题 但是直接通过任务管理器打开也还是被劫持 通过软件观察加载的 dll 也没有问题。最后还发现个并发症 hosts 文件失效 在里面加入的内容 ping 的时候根本不是那个 ip (已重启 刷新 dns 缓存)
看来这回遇到高手了
看来这回遇到高手了
 | 1 superliang 2015-08-19 21:34:37 +08:00 额 虽然都不推荐 360 但是建议你装 360 然后安全模式 保证能"药到病除" |
 | 2 qian19876025 2015-08-19 21:37:43 +08:00 现在我用的是 直接把浏览器的 可执行文件更改一些名字 |
 | 3 kliy 2015-08-19 21:37:55 +08:00 360 以毒攻毒 |
 | 4 fanjusting OP @myleon 360 也试了 查不出病毒来 |
| 5 superliang 2015-08-19 21:50:10 +08:00 @gaojingtian1234 安全模式下 360 全盘扫+360 急救箱 百试百灵 |
 | 6 vpncup 2015-08-19 21:50:54 +08:00 via Android 重装系统 |
 | 7 yangyouzhi 2015-08-19 21:51:52 +08:00 用 360 急救箱应该可以解决。个人觉得 360 急救箱还不错。。。 |
 | 8 shierji 2015-08-19 21:52:09 +08:00 via Android 我记得有一些注册表项目 。。。以前遇到过类似的 很恶心 建议直接重装 |
 | 9 lewiseek 2015-08-19 21:53:22 +08:00 我也遇到过,但上次把可执行文件改成只读,就没出过这个事了 |
 | 10 kikyous 2015-08-19 21:58:13 +08:00 是不是快捷方式被改了 |
| 11 qian19876025 2015-08-19 21:59:59 +08:00 |
 | 12 twitterpig 2015-08-19 22:00:19 +08:00 这么毒呀~~话说百度云的限速破解补丁有下到没毒的吗?怎么样了,干过 2345 了木有? |
| 13 twitterpig 2015-08-19 22:11:10 +08:00 @lewiseek 改成只读影响正常使用不? |
 | 14 tnx2014 2015-08-19 22:18:24 +08:00 肯定被改注册表了,不借助工具除非你精通注册表才能知道改了哪条。 有一个方法可以试试,把文件传到火眼之类的行为分析沙盒,跟踪一下也许有可能找到被修改的地方。 避免这种悲剧的最好办法是利用系统还原,定期创建还原点,出了问题还原就可以,一般来说保护系统分区和装软件的分区行了。 |
| 15 fanjusting OP @myleon 没用 只会把我装的一些破解软件给删掉 |
| 16 fanjusting OP @kikyous 不是 直接打开安装目录下的也被劫持 用任务管理器打开还是劫持 |
| 17 fanjusting OP @qian19876025 链接失效了 |
 | 18 gs038538 2015-08-19 22:33:29 +08:00 via Android 360 以毒攻毒 百试不爽 |
 | 19 niceworld 2015-08-19 22:34:24 +08:00  2 百度云的话你可以装老版本的 就不用找有毒的破解补丁了 先卸载 再断网安装 然后把安装目录下 AutoUpdate 文件里的 Autoupdate.exe 的所有权限全部取消就可以了 这样它就不能强制你更新了 |
| 21 tnx2014 2015-08-19 22:41:20 +08:00 |
| 22 qian19876025 2015-08-19 22:45:57 +08:00 |
 | 25 h404bi 2015-08-19 23:21:18 +08:00 组策略启用禁止修改主页 |
| 26 tnx2014 2015-08-19 23:23:40 +08:00 @niceworld 10M 正好达到顶峰,再高的话就会看出被限速了。不过一般也够用了,下载超大文件除外,不放心补丁的建议可以一直用旧版。 |
 | 27 shengruoyu 2015-08-19 23:26:51 +08:00 我记得知乎上说是注册表被改或者 dll 文件被改。珍爱生命,远离国产软件啊 |
 | 28 zjxubinbin 2015-08-19 23:37:39 +08:00 IFEO? |
 | 29 archbishop 2015-08-20 00:46:02 +08:00 搜一遍注册表 |
 | 30 justpayne 2015-08-20 02:00:11 +08:00 系统还原最方便 |
 | 31 Laforet 2015-08-20 05:00:02 +08:00 @qian19876025 这是全局钩子监视浏览器进程,没办法防。早点重装系统好了,你不知道还有什么后门。 |
 | 32 laiyingdong 2015-08-20 05:54:22 +08:00 百度云建议是找 4.6 的那个旧版 要不然就是切换成 wap 手机版找到真实地址走迅雷或者 IDM 你这是中木马了?自己找软件杀吧 估计 360 也行 http://jifen.2345.com/ 记得去找 2345 投诉 臭骂一顿 那个“技术员”应该会封号的 |
 | 33 wwqgtxx 2015-08-20 08:03:37 +08:00 via Android @laiyingdong 现在 wap 版经常不给大文件的下载地址了 |
 | 34 yakczh 2015-08-20 08:07:03 +08:00 hosts 中加入 127.0.0.1 www.2345.com |
 | 35 fireway456 2015-08-20 08:55:19 +08:00 via Android 应该是改了卓面上浏览器的快捷方式指向。我上次中过招。你看看 |
 | 37 vicalloy 2015-08-20 08:59:56 +08:00 查一下计划任务 |
 | 38 world 2015-08-20 09:02:10 +08:00 你竟然相信 所谓的“限速破解补丁” |
 | 39 invite 2015-08-20 09:03:28 +08:00 这货现在还能存在,搞不好就是 360 自己搞的,刚出来那会就搞过这样的事情。 |
 | 40 omen 2015-08-20 09:12:22 +08:00 在快捷方式上右键-属性-快捷方式-目标-看看最后是不是有个网址,有就删掉, 如果这招不管用就直接装个魔方(绿色版)打开守护功能,守护功能里有一个首页守护调成空白页就可以了。 |
 | 41 zhangchioulin 2015-08-20 09:14:09 +08:00 @myleon 之前我也是被劫持,什么办法都没用,最后还是向 360 低头了 |
 | 42 jeremaihloo 2015-08-20 09:14:27 +08:00 直接用不限速绿色版不久行了,打什么补丁。。 |
 | 43 gamexg 2015-08-20 09:16:47 +08:00 可能是映像劫持 http://www.cnblogs.com/soli/archive/2008/10/19/1314510.html 。 也有可能 exe 文件类型直接被修改了 https://support.microsoft.com/zh-cn/kb/950505 。 |
| 44 gamexg 2015-08-20 09:20:28 +08:00 Autoruns image hijacks 位置 |
 | 45 quericy 2015-08-20 09:38:17 +08:00 还是系统还原吧,如果最近的一个还原点够新的话 |
 | 46 foo2bar 2015-08-20 09:39:19 +08:00 之前遇到这个问题,试过了种种方法无果折腾了几个小时我放弃了,“系统还原”到了前一个还原点终于解决了 TAT |
 | 47 pheyer 2015-08-20 09:41:34 +08:00 自从用上了 Mac ,再也不用烦心这些操蛋的事情 |
 | 48 Aixtuz 2015-08-20 09:51:49 +08:00 之前遇到过,用的 25 楼 策略组 搞定的。 |
 | 49 annielong 2015-08-20 12:27:52 +08:00 写注册表都是简单的, 2345 这个应该是组合型的,包括自启软件、 dll 注入等多种方式混合产生作用,每次重启自动更新重新安装, |
 | 50 fetich 2015-08-20 15:32:52 +08:00 网上方法没有「重装系统」这一招么? |
 | 51 ershiwo 2015-08-20 16:15:31 +08:00 via Android 如果有还原点做系统还原可破,没有重装。之前处理过一个,系统还原修好的。 我看过一个 dnf 外挂,是靠注册表写入篡改的主页,虽然我忘了那个键值。。。。。 |
| 52 ershiwo 2015-08-20 16:18:02 +08:00 via Android @annielong 正常 2345 推广包是靠锁定主页加自启守护进程保证主页不被修改的,但是卸载或用 360 可以锁定别的主页。写注册表那种真的是恶意推广了。 |
 | 53 novaeye 2015-08-20 17:08:42 +08:00 以前碰到过偷偷安装了驱动的劫持. 看看设备管理器里非即插即用驱动程序列表有没有可疑的家伙(貌似要先在"查看"菜单里选中"显示隐藏的设备"). |
 | 54 IronXiao 2015-08-20 18:12:59 +08:00 @tnx2014 用 IDM 啊,前几天我看别人用百度云分享的视频,百度云说登录才能看, IDM 说我能下载下来,然后就下下来看了,当时我就震惊了! |
| 55 tnx2014 2015-08-20 18:37:38 +08:00 @IronXiao 一般的大文件不能直接用 IDM ,要解析到直接的地址才行,反正都是两步,不如用百度云。你这个例子能成功是因为 IDM 会自动解析 flash 视频流,但是一般是云转码过的,也不是源文件。换成其他类型的文件,不一定能用。 IDM 的缺点是它分割出来的文件块全部放在系统临时文件中,如果你下载超大文件在下载过程中会非常占 C 盘空间,假如你没移动临时文件夹的话,对于 C 盘过小的同学来说,最后合并文件块的过程很痛苦。 另外它的 Chrome 浏览器扩展很容易卡浏览器。 |
 | 56 Angdo 2015-08-20 19:37:37 +08:00 via iPhone 记得 2345 有过添加系统驱动的例子 |
 | 59 a990567 2015-08-20 19:41:55 +08:00 @IronXiao IDM 可以下载百度云 wap 的, http://pan.baidu.com/wap/home ,好像还不限速。 |
| 60 a990567 2015-08-20 19:43:39 +08:00 我之前也碰到这个 2345 浏览器主页的, IE11 怎么修改过一会变回来了,最后下载一个 360 卫士,弄好了又删了 360 。。。。。。。。。。。。。。 |
 | 61 honeycomb 2015-08-20 19:45:49 +08:00 这种事情可能是驱动级别的病毒 我记得 freebuf 还是乌云好像有提到过这种百度限速补丁为名的病毒 你可以去查看一下 ---------------------------- 但是最干净的办法是重装 ---------------------------- 此外,以后遇到这种需要运行未签名(总之就是不可信)软件的时候, sandboxie/虚拟机是个好东西 很多病毒见到虚拟机经常会自行停止运行(它也怕反编译) |
 | 63 yanfengzi945 2015-08-20 21:42:20 +08:00 我之前也遇到这个问题,网上所有的办法基本都试过了折腾了几天最后用 HitmanPro_x64 这个软件解决了,你可以试试。 软件链接: http://pan.baidu.com/s/1hqF9fEk 密码: ua4b |
 | 64 realpg PRO 驱动钩子,算是比较厚道的只监控指定进程名进行 hook 这样对计算机的综合性能影响小,不会啥也不干 CPU 就 20%,非常厚道了 |
 | 65 eirk2004 2015-08-20 23:47:14 +08:00 中毒了,先去装个杀毒软件。再用 ARK 工具(例如 PC Hunter )排查可疑驱动 |
 | 66 zhangyh26258 2015-08-21 01:38:19 +08:00 via Android … …建议重装 |
 | 68 hellozrf 2015-08-21 08:32:20 +08:00 |
 | 69 riverphoenix 2015-08-21 09:15:42 +08:00 应该是改注册表了,前天刚中过百度大礼包的毒,修改注册表就好了 |
| 70 fanjusting OP @twitterpig 木有 把游览器改名 暂且用着 |
| 71 fanjusting OP @yakczh 没有用 主页被劫持的并发症就是 hosts 文件彻底失效 |
| 72 fanjusting OP @iqav 找不到 |
 | 73 wuchizhitu1988 2015-08-21 10:09:48 +08:00 不懂为什么要去用这种破解 |
| 74 quericy 2015-08-21 10:15:43 +08:00 油猴有百度云的助手脚本,可以绕过大文件限制而且貌似比 wap 取到的下载地址有时候还快一点,配合 IDM 简直酸爽~~~ @tnx2014 IDM 临时文件夹和下载文件夹在同一个分区大文件就会好很多,或者直接 SSD_ |
 | 75 2015813 2015-08-21 10:18:13 +08:00 via iPhone 修改 hosts , yakcH 的方法有用。 |
 | 76 ytf4425 2015-08-21 10:32:48 +08:00 百度云试试一个叫做“百度干净云”的东东,顺便,你能把病毒样本发上来么 |
| 77 fanjusting OP @novaeye @Angdo @qian19876025 @novaeye @honeycomb 谢谢大家 真的是驱动的问题 windows\system32\drivers 下多了个 mslmedia.sys 对应的注册表服务也有这个服务 删掉之后 世界顿时清净了 http://zhidao.baidu.com/question/873890343675646492.html?fr=iks&word=Mslmedia.sys&ie=gbk 大家以后可以参考 |
 | 78 LightQuantum 2015-08-21 10:49:32 +08:00 好坑啊 2345 学会驱动了!一个流氓软件写驱动!真不要脸 |
 | 79 rootsir 2015-08-21 11:06:46 +08:00 来浦东软件园 找 2345 他们解决问题 |
 | 80 JackDong 2015-08-21 11:39:38 +08:00 via iPhone 额....之前金山绑定主页以毒攻毒弄好了,毒霸的绑定主页防止恶意更改还是有点用的。虽然国内这些真的很讨厌。 |
 | 81 ifishman 2015-08-21 11:49:33 +08:00 @LightQuantum 并不是 2345 写的这个驱动,而是个人为了推广赚佣金写的,在 E 语言外挂界已经流传很久了, 32 位必须用这个驱动才能读写到游戏内存,这个百度破解补丁同理的 |
| 82 LightQuantum 2015-08-21 12:51:11 +08:00 @ifishman 嗯,了解了 |
 | 83 raybai 2015-08-21 13:45:12 +08:00 换个网络环境看看,是否是运营商劫持。 |
 | 84 Explorare 2015-08-21 13:49:54 +08:00 关于限速问题,可以用 Aria2c 搭配 BaiduExporter 下载,实测无限速。 |
 | 85 stblueice 2015-08-21 14:01:12 +08:00 楼主试试看这里的方法怎样 http://www.sdbeta.com/mf/2014/1128/24207.html |
 | 86 jafer 2015-08-21 14:11:40 +08:00 2345 钱多,你妹的估值都 500 亿,坑爹的还干缺德事,大家齐心协力把它祖坟给挖了。顺便问下高手,怎么样让 2345 这样的垃圾公司挂掉 |
 | 87 sky170 2015-08-21 17:51:10 +08:00 via iPhone 三鹿灵以毒杀毒 |
 | 88 jadefengling 2015-08-21 20:28:40 +08:00 via iPhone @jafer DDOS |
| 89 jafer 2015-08-21 20:36:33 +08:00 @jadefengling 贴出详细操作步骤,让菜鸟都能用,最好搞成一键攻击 |
 | 90 moro 2015-08-21 20:42:18 +08:00 用沙盘安装一遍病毒,你就知道他干了什么了。 |
 | 91 went 2015-08-21 20:49:41 +08:00 整那么多,你可能是中招了,查看一下控制面板卸载程序里面是否有什么古怪的程序,搜索一下。我之前被偷偷安装了一个程序,会给 chrome 添加一个广告插件,怎么卸载都没用,最后在这里找到了原因。 |
 | 92 ChangHaoWei 2016-04-06 15:51:48 +08:00 @quericy 不错。不过 按原理来说就是 wap 抓的 下载链接 |
Select Language