主页劫持?hosts文件自动清空或删除?

52ECHO

一、状况：


Q1: 浏览器打开时候自动打开一个广告网站,每次打开的网址还不一样.
检查浏览器主页设置和火绒主页锁定都正常(设置的我个人网盘),点击浏览器主页按钮能正常打开我设置的网盘主页. 但是第一次打开浏览器的时候总是打开一个广告网站.

Q2: hosts文件过不确定多久时间后就会被清空或删除, 实在找不出原因.

上面Q1,Q2产生的原因我是知道的,是用了一个破解游戏外挂软件. 但是我现在就算清除了外挂软件,也找不出不重装系统解决Q1,Q2的办法.

2、目前可提供资料：
    上述问题我也上传了火绒，火绒给了个木马专杀工具，我用了下，扫描结果如下图：


    扫出来4项,点击立即处理只提示成功一项（第一项，但是再扫还是有）， 第四项我手动删除后，重启电脑，再扫还是有这四项，唯一区别是第四项里的病毒文件名变了。
    然后我又根据文件名搜索了注册表（因为第二第三项说了注册表）：共搜到3个，如下位置，内容一样，删除不掉。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_2TWNKCDK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_2TWNKCDK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_2TWNKCDK

注意：因为是重启后搜的注册表，病毒名字已经变成了2twNKcDK.sys，此时再搜原来的“RYeR3lSz”已经搜索不到了。
其中一个注册表内容如下:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_2TWNKCDK]
"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_2TWNKCDK\0000]
"Service"="2twNKcDK"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="Fanticy Monitor Filter Driver"

病毒样本下载:
https://www.lanzouj.com/i5cwieb


三、带出病毒的破解软件是不允许发论坛的那种，我就暂时不发了。

四、如还需提供其他信息请大神们指示！

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
编辑: 2019.08.06 20:04
用火绒4又扫了下,发现这个注册表可疑

项目名称：禁止更改局域网设置中的自动配置设置, 修复位置：HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel->AutoConfig, 处理结果：修复失败

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Autoconfig"=dword:00000001

可是也删不掉.


===========================================
2019年8月6日21点02分

已自行解决，方法在沙发。

52ECHO

一楼留空收集大神们的回答,作为电梯用.

PS:目前看是靠杀软自动杀是没用了,能不能指导下怎么手动杀?
我的猜想:  是不是清理掉那几个注册表就干净了? 问题是不允许删除怎么清?

==========================================================
编辑：2019年8月6日20点42分
自己解决了。（目前全网没搜到，只搜到火绒2018年2月左右有过一个帖子说这个。）

分享解决方案：
准备：一个PE盘。
1.先用了火绒的专杀工具(http://down4.huorong.cn/hrkill.exe)(官方下载地址，就没放网盘，如违规请提示修改。)，扫描出恶意病毒文件，（我的是一个XXXXX.sys）
2.在注册表“HKEY_LOCAL_MACHINE\SYSTEM\”下搜索XXXXX，导出该表项，用记事本打开，可以看到各项值。备用。
3.手动删除XXXXX.sys。（shift+delete）
4.重启电脑，进PE。
4.1. win+R，regedit，打开注册表，选中HKEY_LOCAL_MACHINE\SYSTEM，然后菜单中加载配置单元，随便起个名，如TEST。
4.2. 挂载成功后，点击TEST，搜索之前第2步搜集到的信息，我搜的是

"DeviceDesc"="Fanticy Monitor Filter Driver"

这项里的Fanticy Monitor Filter Driver。（我的情况下，我比较了下，应该也可以搜索"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"的值，请各位根据自己实际情况。）

把搜出来的项目整个删掉"LEGACY_XXXXXXXXXX",不是只删0000表项。

4.3. 全部删完后点击TEST，菜单中卸载配置单元，即完成了对系统的注册表修改。


5.重启电脑即可。


6.补充：正文中补充提到的HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel->AutoConfig这个注册表项也被我删了，不知道有没有关系。

eihouwang001

我也遇到过此类情况，没能处理掉  后来就不管他了。。。。。。。。

希望哪位大神 处理一下 也学习下

52ECHO

eihouwang001 发表于 2019-8-6 20:25
我也遇到过此类情况，没能处理掉  后来就不管他了。。。。。。。。

希望哪位大神 处理一下 也学习下

唉。。。没人回答。
目前我研究了下进PE修改原系统注册表，搜索相关表项全删了。

重启后目前没扫描到原病毒

ds123

https://www.52pojie.cn/thread-1006036-1-1.html   求助，表哥，我的hsost一直被清空，  按照那个表哥说的， 火绒下，抓到了进程，  以前 游戏天龙八部私服里的木马， 都是驱动木马，  也是删了之后还会随机生成。气死我了。  求表哥帮一下，有偿。

这里没有看懂，pe下，我搜索不到，
4.2. 挂载成功后，点击TEST，搜索之前第2步搜集到的信息，我搜的是
"DeviceDesc"="Fanticy Monitor Filter Driver"
这项里的Fanticy Monitor Filter Driver。（我的情况下，我比较了下，应该也可以搜索"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"的值，请各位根据自己实际情况。）

siwosh

我曾经在安全模式下吧dirvers文件夹下东西删了之后就好了

wowocock

老木马驱动了，用360急救箱强力模式扫描即可。BTW,木马有重定向功能，所以你发上来的是被木马重定向的系统文件TCPIP.SYS.

52ECHO

ds123 发表于 2019-8-11 18:18
https://www.52pojie.cn/thread-1006036-1-1.html   求助，表哥，我的hsost一直被清空，  按照那个表哥说的 ...

你先用火绒专杀工具扫一下，（我补了官方下载链接了，我不是用火绒剑查的，那些专业工具我不会的）

ds123

52ECHO 发表于 2019-8-13 23:30
你先用火绒专杀工具扫一下，（我补了官方下载链接了，我不是用火绒剑查的，那些专业工具我不会的）

我用火绒专杀排查过，它没有检测出来， 用360急救箱，能够检测出来，但是它提示已删除，但实际没有删除， 并且，我在安全模式下，删除它们， 能够删除， 但是进去正常模式后，还会随机名称出现，并且越来越多，删除的时候 两个，  进去原本系统后，生出10来个， 越杀越多， 这些木马，还有正规签名，不使用急救模式，都检测不出来。 还有本身电脑有好多工具，都是爆不安全， 所以想用楼主的手工清楚， 但是我在pe下搜索，没有找到。 不知道为啥，所以来请教。

ds123

52ECHO 发表于 2019-8-13 23:30
你先用火绒专杀工具扫一下，（我补了官方下载链接了，我不是用火绒剑查的，那些专业工具我不会的）

样本和注册表，https://pan.baidu.com/s/1UlrDoOPJtHFzaRJrpc7abQ




这些307Kb的文件，都是随机生成的， 本来只有 两三个， 手工删除越删除越多，  现在生成10几个啦。