这是一个创建于 3603 天前的主题,其中的信息可能已经有所发展或是发生改变。
xp 系统,所有浏览器都被强制设置为 hao.ylmf.xxx ,金山卫士,毒霸, 360 卫士,什么急救箱,主页修复都试过了,注册表搜索找不到 ylmf ,快捷式没有带尾巴,求 v2 大神
第 1 条附言 2016-02-13 19:15:55 +08:00
实在没有办法,重装了系统, ylmf.com 这个该死的东西终于消失了
 | 1 xiaodaigou 2016-02-13 10:16:14 +08:00 换系统 |
 | 2 ech0x 2016-02-13 10:46:33 +08:00 via iPhone 槽点难道不是 xp 吗? |
 | 3 lin 2016-02-13 10:50:24 +08:00 楼上几位朋友,当然换系统是正路, 但是我觉得楼主提出这个问题,我们是不是可以换个思路,或者换个问题思考:楼主的遇到的问题到底出在什么地方? |
 | 4 tobyxdd 2016-02-13 10:56:20 +08:00 雨林木风?? |
 | 5 shuiandy 2016-02-13 10:58:04 +08:00 提供的信息太少,建议先用 IceSword 之类的工具排查一下进程和 IE 、 Explorer.exe 的线程。 |
 | 6 xmh51 2016-02-13 11:03:55 +08:00 xp 就不要想了,漏洞一大堆。而且被人研究了这么多年了。搞不好是系统级别的。 |
 | 7 Myprincess 2016-02-13 11:06:46 +08:00 via Android 要找到,把整个文件夹删除。我就是这样对 hao123 与 2345 的。很难弄的。 |
 | 8 shenqi 2016-02-13 11:10:25 +08:00 via iPhone 别告诉我你还在用 IE6 |
 | 9 zi 2016-02-13 11:13:32 +08:00 看看浏览器快捷方式的属性中“目标”后面是不是跟了一坨 url |
 | 10 tuzhis 2016-02-13 11:19:07 +08:00 能强制所有浏览器的多是加载驱动实现的,浏览器主文件改名可以治标,治本找到那个驱动杀了就好了。另外我想吐槽的是就不能找个杀毒专业的来杀么!! |
 | 14 yeyeye 2016-02-13 12:11:25 +08:00  1 对于没有自查病毒能力的用户,还是老老实实的新建一个快捷方式在后面加上首页网址吧。 真的很难跟你解释“如何解决此类问题”,因为十几年前就有这样的情况了,杀毒软件都给不了你通用的解决方案,只能绑定而不是直接查杀。 另外没有自查病毒能力的用户,还不装杀毒类软件的话,很容易长期进驻病毒却不自知,言尽于此 |
 | 15 kuxiazi 2016-02-13 12:14:58 +08:00 via Android 鬼影? MBR 病毒 不杀掉就算重装系统都白搭 |
 | 18 paradoxs 2016-02-13 12:20:41 +08:00 http://www.360.cn/jijiuxiang/ 这个东西救不了的话,没别的能救了。 |
 | 19 wy315700 2016-02-13 12:26:21 +08:00 via Android 组策略里找找 |
 | 20 congeec 2016-02-13 12:30:01 +08:00 内核级别的 hook 你就死心吧,这破玩意儿有漏洞微软也不管 |
 | 21 pimin 2016-02-13 12:50:00 +08:00 via Android 楼上都说得太玄乎了。。。 排查方式不在乎几点 1.有没有后台进程实时检测 2.有没有短网址写入注册表 1 是比较好排查的,可以先做启动项排查,虽然 Windows 启动方式很多,但是太多工具已经帮忙整理出来了。如果排查不到,新下载个无名的浏览器做测试,如果也被劫持,说明有后台进程,继续考虑查毒。 2.打开 ie 相关注册表位置,看看有没有莫名其妙的网址,有就再搜索替换,没有也没什么办法。 如果别的浏览器都搞定了,只剩下 IE 搞不定,就充值 IE 为默认设置,然后重启电脑即可。 |
 | 22 laiyingdong 2016-02-13 12:55:32 +08:00 别告诉我你用了 Ghost 系统 不过这年代 XP 当然被嫌弃啦 |
 | 24 roustar31 2016-02-13 13:21:35 +08:00 这种情况我见过几次,一般是系统被种下了驱动级别的木马。 驱动文件有签名,国内某些软件是白名单的了的。所以拿这些查不出来什么东西 不是什么内核漏洞,也不是注册表快捷方式 url (这都烂到家的招数) |
 | 27 chalio 2016-02-13 13:56:00 +08:00 pchunter 试试 |
 | 28 VmuTargh 2016-02-13 13:57:10 +08:00 wsyschk |
 | 29 kn007 2016-02-13 13:58:31 +08:00 你居然能用 IE9 。。。或许浏览器本身就是个问题。。。 |
 | 30 Aquamarine 2016-02-13 14:18:12 +08:00 诺顿的 NPE 试试: https://security.symantec.com/nbrt/npe.aspx |
 | 31 wclebb 2016-02-13 14:19:36 +08:00 额,怎么说呢。 你看看 Explorer.exe 是不是其中 Explorer.exe 的 l 被写成了 1 或大写 I 。 |
| 32 Aquamarine 2016-02-13 14:20:30 +08:00 |
| 33 wy315700 2016-02-13 16:17:11 +08:00 via Android @Aquamarine 之前测试的时候发现组策略优先级比注册表高 |
| 34 Aquamarine 2016-02-13 17:00:25 +08:00 @wy315700 你是如何测试的?优先级可否举个例子? |
 | 35 gamexg 2016-02-13 17:35:30 +08:00 可以动手脚的地方太多了,下个 autoRuns 按个检查驱动、映像劫持等内容。 也可以试试通过 procexp 检查下浏览器父进程、启动参数。 |
| 36 gamexg 2016-02-13 17:40:21 +08:00 对了,尝试切断网络再打开浏览器看看 url 到底是什么。 有些恶意劫持为了防止被搜索注册表找出来,默认主页是另一个地址,通过重定向转到 hao.ylmf.xxx 。 |
 | 37 googlefans 2016-02-13 19:35:40 +08:00 @xmh51 不明白为什么现在银行 (开通网银后需要激活 大堂经理用的那个电脑竟然是 xp )商场各种柜台电脑大部分也都是 xp |
 | 40 Quaintjade 2016-02-13 20:12:11 +08:00 via Android @googlefans 1.更换代价高(从驱动到用户界面程序各种支持) 2.够用 3.系统和软件测试运行这么多年,发现和修复 N 多 bug ,足够稳定 4.使用环境相对封闭,即使有漏洞也不一定能被利用(比如只能访问内网, USB 被物理封死之类) |
 | 41 ipconfiger 2016-02-13 20:21:31 +08:00 退瘟到死保平安 |
 | 42 ZHenJ 2016-02-13 22:17:05 +08:00 |
 | 43 wbsdty331 2016-02-14 09:46:08 +08:00 XP 最多 IE8 啊? |
Select Language