关于流氓软件的问题,监视任务栏添加的浏览器快捷方式?

从 “http://www.yxdown.com/SoftView/SoftView_13771.html”  下载文明4 中招。下载文件名 “yxdown.com_Civilization4_chs.rar”现在情况是有程序监视  “C:\Users\leon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar” 文件夹,只要把 Chrome 固定到任务栏,这此快捷方式的后面自动添加 “http://hao.*********.com” ,此字符串随机,重定向网站随机。添加的快捷方式权限被修改。金山卫士 毒霸 只能锁定主页
修改文件权限限制访问
这两个方法都不能找到监视程序,解决不彻底,有高手帮我想一下如何救出揪出来这个坏蛋!//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.970353.com/

解决方案 »

  1.   

    你用Sysinternals里的ProcessExplorer检查一下句柄,看看哪个进程在抓这个路径的句柄的。
      

  2.   

    ProcessExplorer 不管吧;可以试试 Procmon.exe 来监控 Path 包含 Quick Launch 的操作,看哪个进程有写入操作的
      

  3.   

    用 Process Monitor 监控包含 “Quick Launch\User Pinned\TaskBar” 路径,进行 “将此程序从任务栏解锁” 和 "将此程序固定的任务栏" 操作时,只有 exolorer.exe,MsMpEng.exe,System 三个进程对其有操作。
    Process Monitor 保存的文件
    https://pan.baidu.com/s/1npcWDNY-VYczTZGXfphoUQ
    ////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
    直接将复制一个 Chrome 快捷方式 到 路径下,不会添加 网站后缀。
    只有在使用  “将此程序从任务栏解锁” 和 "将此程序固定的任务栏" 操作,才会添加网站后缀,  应该是劫持了 这两个操作,如何找到它?
      

  4.   

    在 win7 下试了下,无论是固定到任务栏,还是对已固定的修改“属性”添加类似的参数,都没有 System 进程的什么事儿,只是 explorer.exe 在忙乎;MsMpEng.exe 说是 mse 的个程序,算正常的吧。
    System 把原来的 2KB 的 lnk 文件扩大到了 4KB 的样子,这也符合添加那些尾巴的表现。所以,应该就是这个操作在作祟了。这个进程里的,就是些驱动/内核服务的项了,所以,应该从这方面入手;用上面提及的 ProcessExplorer 选择了 System 进程,查看下面窗口显示出来的模块,有什么可疑的,尤其是公司名上有问题的,比如看着莫名其妙的或明显不是微软或几大驱动公司的。
      

  5.   

    dump_dumpfve.sys 0xfffff8800196b000 0x13000 C:\Windows\System32\Drivers\dump_dumpfve.sys 1970/1/1 8:00
    kmodurl64.sys 0xfffff88002fd4000 0x22000 c:\program files (x86)\ksafe\kmodurl64.sys 1970/1/1 8:00
    kisknl.sys 0xfffff88003640000 0x52000 C:\Windows\system32\drivers\kisknl.sys 1970/1/1 8:00
    PROCMON23.SYS 0xfffff880036b0000 0x1a000 C:\Windows\system32\Drivers\PROCMON23.SYS 1970/1/1 8:00
    ksfmonsys64.sys 0xfffff88003d84000 0x8000 c:\program files (x86)\ksafe\ksfmonsys64.sys 1970/1/1 8:00
    ksapi64.sys 0xfffff88003dea000 0x12000 C:\Windows\system32\drivers\ksapi64.sys 1970/1/1 8:00
    PROCEXP152.SYS 0xfffff8800bbf0000 0xc000 C:\Windows\System32\Drivers\PROCEXP152.SYS 1970/1/1 8:00
    以上为 System 下可疑的模块,文件均不存在!但是感觉非常像 https://bbs.kafan.cn/thread-2041256-1-1.html 这里讲的 百变导航 变种。但是危害没有它那么大,仅是偷改位于任务栏上的 Chrome 和 IE 快捷方式。System 下的 模块列表
    https://pan.baidu.com/s/1bUEZRs7evcJFeUd1EnGPXw
      

  6.   

    两个 proc 打头的是上面提及的使用到的 procmon 和 procexp 的,应该没有问题。
    几个 k 打头的度是 ksafe 的吧,金山杀毒的?看你上面的信息,好像系统的 mse 启用了,这个,金山的还是清理了吧。
    dump_... 什么的,看你提供的帖子里,简直就是它了,可能是重新封装了的;把它的驱动文件删除到回收站,或驱动启动模式为“禁用”试试?如果还是会出现驱动文件,或恢复正常启动模式,就是有其它的保护了。
      

  7.   

    把金山卸载后,
    “dump_*”  开头还有两个文件,“dump_dumpfve.sys”,“dump_dumpata.sys”均位于 “C:\Windows\System32\Drivers\”,但是这两个文件实际不存在,创建了这两个空文件并把所有权限禁止,重新启动。
    System 下依然有位于 “C:\Windows\System32\Drivers\dump_dumpata.sys”  的模块加载,时间戳依然“1970/1/1 8:00:00”。但是“dump_dumpfve.sys”没有了,快捷方式添加后缀的行为依然存在。自行创建的两个空文件都在 “C:\Windows\System32\Drivers\”目录下。驱动启动模式???
      

  8.   

    关于这个问题,我有一个类似的问题,今天刚刚自己动手解决了!!你可以试一试奥。
    https://bbs.csdn.net/topics/392392987