主页劫持?hosts文件自动清空或删除?
本帖最后由 52ECHO 于 2019-8-6 21:02 编辑一、状况:
Q1: 浏览器打开时候自动打开一个广告网站,每次打开的网址还不一样.
检查浏览器主页设置和火绒主页锁定都正常(设置的我个人网盘),点击浏览器主页按钮能正常打开我设置的网盘主页. 但是第一次打开浏览器的时候总是打开一个广告网站.
Q2: hosts文件过不确定多久时间后就会被清空或删除, 实在找不出原因.
上面Q1,Q2产生的原因我是知道的,是用了一个破解游戏外挂软件. 但是我现在就算清除了外挂软件,也找不出不重装系统解决Q1,Q2的办法.
2、目前可提供资料:
上述问题我也上传了火绒,火绒给了个木马专杀工具,我用了下,扫描结果如下图:
扫出来4项,点击立即处理只提示成功一项(第一项,但是再扫还是有), 第四项我手动删除后,重启电脑,再扫还是有这四项,唯一区别是第四项里的病毒文件名变了。
然后我又根据文件名搜索了注册表(因为第二第三项说了注册表):共搜到3个,如下位置,内容一样,删除不掉。
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_2TWNKCDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_2TWNKCDK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_2TWNKCDK
注意:因为是重启后搜的注册表,病毒名字已经变成了2twNKcDK.sys,此时再搜原来的“RYeR3lSz”已经搜索不到了。
其中一个注册表内容如下:
Windows Registry Editor Version 5.00
"NextInstance"=dword:00000001
"Service"="2twNKcDK"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Fanticy Monitor Filter Driver"
病毒样本下载:
https://www.lanzouj.com/i5cwieb
三、带出病毒的破解软件是不允许发论坛的那种,我就暂时不发了。
四、如还需提供其他信息请大神们指示!
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
编辑: 2019.08.06 20:04
用火绒4又扫了下,发现这个注册表可疑
项目名称:禁止更改局域网设置中的自动配置设置, 修复位置:HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel->AutoConfig, 处理结果:修复失败
Windows Registry Editor Version 5.00
"Autoconfig"=dword:00000001
可是也删不掉.
===========================================
2019年8月6日21点02分
已自行解决,方法在沙发。
本帖最后由 52ECHO 于 2019-8-13 23:27 编辑
一楼留空收集大神们的回答,作为电梯用.
PS:目前看是靠杀软自动杀是没用了,能不能指导下怎么手动杀?
我的猜想:是不是清理掉那几个注册表就干净了? 问题是不允许删除怎么清?
==========================================================
编辑:2019年8月6日20点42分
自己解决了。(目前全网没搜到,只搜到火绒2018年2月左右有过一个帖子说这个。)
分享解决方案:
准备:一个PE盘。
1.先用了火绒的专杀工具(http://down4.huorong.cn/hrkill.exe)(官方下载地址,就没放网盘,如违规请提示修改。),扫描出恶意病毒文件,(我的是一个XXXXX.sys)
2.在注册表“HKEY_LOCAL_MACHINE\SYSTEM\”下搜索XXXXX,导出该表项,用记事本打开,可以看到各项值。备用。
3.手动删除XXXXX.sys。(shift+delete)
4.重启电脑,进PE。
4.1. win+R,regedit,打开注册表,选中HKEY_LOCAL_MACHINE\SYSTEM,然后菜单中加载配置单元,随便起个名,如TEST。
4.2. 挂载成功后,点击TEST,搜索之前第2步搜集到的信息,我搜的是"DeviceDesc"="Fanticy Monitor Filter Driver"
这项里的Fanticy Monitor Filter Driver。(我的情况下,我比较了下,应该也可以搜索"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"的值,请各位根据自己实际情况。)
把搜出来的项目整个删掉"LEGACY_XXXXXXXXXX",不是只删0000表项。
4.3. 全部删完后点击TEST,菜单中卸载配置单元,即完成了对系统的注册表修改。
5.重启电脑即可。
6.补充:正文中补充提到的HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel->AutoConfig这个注册表项也被我删了,不知道有没有关系。
我也遇到过此类情况,没能处理掉后来就不管他了。。。。。。。。
希望哪位大神 处理一下 也学习下 eihouwang001 发表于 2019-8-6 20:25
我也遇到过此类情况,没能处理掉后来就不管他了。。。。。。。。
希望哪位大神 处理一下 也学习下
唉。。。没人回答。
目前我研究了下进PE修改原系统注册表,搜索相关表项全删了。
重启后目前没扫描到原病毒 https://www.52pojie.cn/thread-1006036-1-1.html 求助,表哥,我的hsost一直被清空,按照那个表哥说的, 火绒下,抓到了进程,以前 游戏天龙八部私服里的木马, 都是驱动木马,也是删了之后还会随机生成。气死我了。求表哥帮一下,有偿。
这里没有看懂,pe下,我搜索不到,
4.2. 挂载成功后,点击TEST,搜索之前第2步搜集到的信息,我搜的是
"DeviceDesc"="Fanticy Monitor Filter Driver"
这项里的Fanticy Monitor Filter Driver。(我的情况下,我比较了下,应该也可以搜索"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"的值,请各位根据自己实际情况。) 我曾经在安全模式下吧dirvers文件夹下东西删了之后就好了
老木马驱动了,用360急救箱强力模式扫描即可。BTW,木马有重定向功能,所以你发上来的是被木马重定向的系统文件TCPIP.SYS. ds123 发表于 2019-8-11 18:18
https://www.52pojie.cn/thread-1006036-1-1.html 求助,表哥,我的hsost一直被清空,按照那个表哥说的 ...
你先用火绒专杀工具扫一下,(我补了官方下载链接了,我不是用火绒剑查的,那些专业工具我不会的) 52ECHO 发表于 2019-8-13 23:30
你先用火绒专杀工具扫一下,(我补了官方下载链接了,我不是用火绒剑查的,那些专业工具我不会的)
我用火绒专杀排查过,它没有检测出来, 用360急救箱,能够检测出来,但是它提示已删除,但实际没有删除, 并且,我在安全模式下,删除它们, 能够删除, 但是进去正常模式后,还会随机名称出现,并且越来越多,删除的时候 两个,进去原本系统后,生出10来个, 越杀越多, 这些木马,还有正规签名,不使用急救模式,都检测不出来。 还有本身电脑有好多工具,都是爆不安全, 所以想用楼主的手工清楚, 但是我在pe下搜索,没有找到。 不知道为啥,所以来请教。 52ECHO 发表于 2019-8-13 23:30
你先用火绒专杀工具扫一下,(我补了官方下载链接了,我不是用火绒剑查的,那些专业工具我不会的)
样本和注册表,https://pan.baidu.com/s/1UlrDoOPJtHFzaRJrpc7abQ
这些307Kb的文件,都是随机生成的, 本来只有 两三个, 手工删除越删除越多,现在生成10几个啦。
页:
[1]
2