这是一个创建于 3054 天前的主题,其中的信息可能已经有所发展或是发生改变。
老爸电脑装了个搜狗输入法,好用是好用,吃相太难看了....
IE 主页被劫持到 123.sougou.com 以下是我试过的方法:
- 注册表常用的主页键值都改过了,没用.
- 在跳转到 123.sougou.com 的一瞬间会到一个中间网址,这个网址在注册表中也找到了,删掉对应键值,依然不起作用
- 不定时弹出各种广告,去不掉
- IE 选项也改过了,没用
- IE 快捷方式也没有设置启动参数
- 杀毒软件没有报毒
百度和谷歌上的方法都用过了,没有效果
扔到虚拟机中测试,连续开启 72 小时,没有装任何杀毒软件,没有劫持主页行为,我估计搜狗检测 VMware 线程了.
第 1 条附言 2017-07-16 07:46:32 +08:00
是这样的 ,因为我爸有两台电脑,一台在家中的台式,在之前就有被搜狗导航劫持的行为一直解决不了。另外一台是笔记本,笔记本系统是我装的,应我爸要求装的 win7 (工作软件原因)然后我给他装的搜狗输入法,我在外地上学给他邮寄回去,然后过了两天也出现相同的行为,大家说不是搜狗劫持也很有道理 我回去找找两台电脑相似的软件
尝试过在虚拟机里用 malwaredefender 找原因 但问题就是不复现,我又无法完全模拟老爸的使用场景……蓝瘦
尝试过在虚拟机里用 malwaredefender 找原因 但问题就是不复现,我又无法完全模拟老爸的使用场景……蓝瘦
 | 1 raikkonien 2017-07-15 20:22:04 +08:00 via Android 改 host,眼不见为净 |
 | 2 yylzcom 2017-07-15 20:23:20 +08:00 无脑推荐火绒,国产里比较干净的一家了 |
 | 3 CEBBCAT 2017-07-15 20:27:40 +08:00 via Android 打开搜狗的设置试试 此帖终结 |
 | 4 rssf 2017-07-15 21:36:50 +08:00 via iPhone 为何不删除 |
 | 5 seasstyle 2017-07-15 22:04:49 +08:00 via Android 国内的流氓世家都被我全部监禁或者 ko 了 |
 | 6 rosu 2017-07-15 22:05:06 +08:00 via Android  1 用搜狗很久,没有遇到。 |
 | 7 xx998 2017-07-15 22:07:56 +08:00 via Android 用修改版! 或者换其他输入法 |
 | 8 Perseus1812 2017-07-15 22:12:29 +08:00 via Android 换 bing 输入法 |
 | 9 NonClockworkChen 2017-07-15 22:25:44 +08:00 mac 和 win 都没遇到过....建议你再查查... |
 | 10 Finest 2017-07-15 22:48:29 +08:00 安装的时候一路默认下去是很危险的,尤其是国产软件 |
 | 11 Aar0nFr4nk 2017-07-15 23:36:55 +08:00 via iPhone 我平时都是去下网上所谓的绿色版精简版 一般会被精简很多无用的东西 只保留最原始即打字的功能……建议楼主解决了主页劫持的问题后 可以试试..另外国产那些流氓杀软应该很有办法对付这些[捂脸笑] |
 | 12 yongyuhi 2017-07-15 23:40:33 +08:00 via Android 可能不是搜狗,估计安装包中加了脚本,查下启动项,有没有奇怪的脚本,看下系统中有没有奇怪的 exe。 |
 | 13 miaomiao888 2017-07-15 23:45:11 +08:00 关键字:WMI 劫持 |
 | 14 Baymaxbowen 2017-07-15 23:47:32 +08:00 via Android 推荐手心输入法,但是好像是数字家的,但还是很干净 |
 | 15 anyele 2017-07-16 00:06:31 +08:00 QQ 输入法, 没广告, 没绑定 |
 | 16 kamen 2017-07-16 00:09:30 +08:00 via Android sudo pacman -S fcitx-sougoupinyin |
 | 17 dream7758522 2017-07-16 00:20:02 +08:00 via Android 并没有,用的是搜狗输入法 |
 | 19 Vizogood OP @raikkonien 没用 改过了 只会在 IE 启动的开始提示你的链接不是安全链接 |
| 23 Vizogood OP @miaomiao888 谢谢 我找找 |
 | 24 XiLemon 2017-07-16 08:26:13 +08:00 via iPhone 在 Ubuntu 里装了一个,Firefox 首页变成搜狗的了,目前还没有找到解决方案,求问? |
 | 25 zvcs 2017-07-16 08:43:23 +08:00 via iPhone 手心输入法 哈哈哈 |
 | 26 boboliu 2017-07-16 08:50:36 +08:00 https://loaris.com/get-loaris/ 试试这货,肛 PUP 和主页挺好用的。 https://www.zemana.com/ 或者这个,效果也可以 最后你要是担心自己中了什么 rootkit 可以抢救一波: - https://security.symantec.com/nbrt/npe.aspx - http://www.360.cn/jijiuxiang/index.html |
 | 27 wangxiaoer 2017-07-16 08:53:22 +08:00 360 扫一下,这种事情还是流氓老大才能搞定吧 |
 | 28 nosmile 2017-07-16 09:17:07 +08:00 via Android 我一般实在没办法用国内的软件的话,都是去 52pojie 下载去广告版绿色版本 |
 | 29 Suddoo 2017-07-16 10:55:40 +08:00 卸载搜狗,换小狼毫输入法 |
 | 30 kokutou 2017-07-16 11:39:20 +08:00 via Android 装个火绒一扫就出来了。。。 |
 | 31 honeycomb 2017-07-16 12:21:49 +08:00 via Android 给你爹买一台 mac 吧 |
 | 35 virusdefender 2017-07-16 12:28:06 +08:00 装 360 查一下吧,感觉还是比较有用的 |
 | 36 Robots 2017-07-16 12:30:49 +08:00 |
 | 37 xvx 2017-07-16 16:16:44 +08:00 人懒,不想再浪费时间去处理这些蛋疼玩意了,所以后来就干脆不用搜狗了。 |
 | 38 yukimio 2017-07-16 16:40:55 +08:00 卡饭论坛有精简去广告纯输入法保留版。一直用的是这种。 另搭车问,中了一种执行 exe 就自动生成 mgr 同名 exe 的病毒(?怎么处理…… 一众扫毒扫了个遍,无效。删除后会再生成(但不是每个 exe 都会生成)。重装后还不行。现在是建立一个同名只读空文件凑合用着,但看着难受。 求教求教。 |
 | 39 usedname 2017-07-16 17:23:19 +08:00 卸载,用 ms 自带的,此贴终结。 |
 | 40 Athrob 2017-07-16 18:14:29 +08:00 https://www.athrob.me/archives/13/ 看看这个有帮助吗? |
 | 42 Marfal 2017-07-16 18:45:11 +08:00 都用国产了,哪家都一样,用手心吧,无弹窗,而且界面 100%复刻搜狗 |
| 43 Vizogood OP @virusdefender 是时候得这样了,看你的名字 ,你也是做反病毒的? |
| 45 virusdefender 2017-07-16 18:46:18 +08:00 @Vizogood #43 好多年前的事情了 |
| 47 Vizogood OP @virusdefender 我原来也做过反病毒,我还写过流氓软件终结者,现在被一个劫持主页打败了 |
 | 49 acess 2017-07-16 20:24:31 +08:00 刚刚安装搜狗,并没有被改主页。不过安装程序结束时确实有个框是设置主页为搜狗导航。 |
| 50 acess 2017-07-16 20:38:02 +08:00 注册表方面,不知道 LZ 有没有检查过组策略有关的注册表项。如果是改过又被改回来,Process Monitor 支持 Boot Logging,不过你老爸跟你离得远的话,这个就太麻烦了…… 除了这些,就是比较猥琐的木马手段了吧,前一阵子看到的分析: http://www.freebuf.com/articles/web/131156.html 也许 LZ 需要 PCHunter (查一下 Explorer 在应用层有没有 Hook,还有 LoadImage 回调等)、Autoruns、Process Explorer 等工具。 考虑最倒霉的情况,就是中了木马……这样的话,MBR 和 PBR 也不能放过,可以用 BOOTICE 在 U 盘启动的情况下先备份出 MBR 和 PBR,再传 VirusTotal 扫描。 |
| 51 acess 2017-07-16 20:39:59 +08:00 前一阵子才碰到身边有人中 PBR Bootkit,赛门铁克的数据库显示名字好像叫 Cidox,是 N 年前的老病毒…… 电脑管家报道的“异鬼”和它的行为也比较吻合…… 表面能看到的行为就是改主页。 |
| 52 acess 2017-07-16 20:41:05 +08:00 在找到问题源头之前,我不觉得用别的工具锁主页是个好主意。 |
Select Language