从 “http://www.yxdown.com/SoftView/SoftView_13771.html” 下载文明4 中招。下载文件名 “yxdown.com_Civilization4_chs.rar”现在情况是有程序监视 “C:\Users\leon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar” 文件夹,只要把 Chrome 固定到任务栏,这此快捷方式的后面自动添加 “http://hao.*********.com” ,此字符串随机,重定向网站随机。添加的快捷方式权限被修改。金山卫士 毒霸 只能锁定主页
修改文件权限限制访问
这两个方法都不能找到监视程序,解决不彻底,有高手帮我想一下如何救出揪出来这个坏蛋!//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.970353.com/
修改文件权限限制访问
这两个方法都不能找到监视程序,解决不彻底,有高手帮我想一下如何救出揪出来这个坏蛋!//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.970353.com/
Process Monitor 保存的文件
https://pan.baidu.com/s/1npcWDNY-VYczTZGXfphoUQ
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
直接将复制一个 Chrome 快捷方式 到 路径下,不会添加 网站后缀。
只有在使用 “将此程序从任务栏解锁” 和 "将此程序固定的任务栏" 操作,才会添加网站后缀, 应该是劫持了 这两个操作,如何找到它?
System 把原来的 2KB 的 lnk 文件扩大到了 4KB 的样子,这也符合添加那些尾巴的表现。所以,应该就是这个操作在作祟了。这个进程里的,就是些驱动/内核服务的项了,所以,应该从这方面入手;用上面提及的 ProcessExplorer 选择了 System 进程,查看下面窗口显示出来的模块,有什么可疑的,尤其是公司名上有问题的,比如看着莫名其妙的或明显不是微软或几大驱动公司的。
kmodurl64.sys 0xfffff88002fd4000 0x22000 c:\program files (x86)\ksafe\kmodurl64.sys 1970/1/1 8:00
kisknl.sys 0xfffff88003640000 0x52000 C:\Windows\system32\drivers\kisknl.sys 1970/1/1 8:00
PROCMON23.SYS 0xfffff880036b0000 0x1a000 C:\Windows\system32\Drivers\PROCMON23.SYS 1970/1/1 8:00
ksfmonsys64.sys 0xfffff88003d84000 0x8000 c:\program files (x86)\ksafe\ksfmonsys64.sys 1970/1/1 8:00
ksapi64.sys 0xfffff88003dea000 0x12000 C:\Windows\system32\drivers\ksapi64.sys 1970/1/1 8:00
PROCEXP152.SYS 0xfffff8800bbf0000 0xc000 C:\Windows\System32\Drivers\PROCEXP152.SYS 1970/1/1 8:00
以上为 System 下可疑的模块,文件均不存在!但是感觉非常像 https://bbs.kafan.cn/thread-2041256-1-1.html 这里讲的 百变导航 变种。但是危害没有它那么大,仅是偷改位于任务栏上的 Chrome 和 IE 快捷方式。System 下的 模块列表
https://pan.baidu.com/s/1bUEZRs7evcJFeUd1EnGPXw
几个 k 打头的度是 ksafe 的吧,金山杀毒的?看你上面的信息,好像系统的 mse 启用了,这个,金山的还是清理了吧。
dump_... 什么的,看你提供的帖子里,简直就是它了,可能是重新封装了的;把它的驱动文件删除到回收站,或驱动启动模式为“禁用”试试?如果还是会出现驱动文件,或恢复正常启动模式,就是有其它的保护了。
“dump_*” 开头还有两个文件,“dump_dumpfve.sys”,“dump_dumpata.sys”均位于 “C:\Windows\System32\Drivers\”,但是这两个文件实际不存在,创建了这两个空文件并把所有权限禁止,重新启动。
System 下依然有位于 “C:\Windows\System32\Drivers\dump_dumpata.sys” 的模块加载,时间戳依然“1970/1/1 8:00:00”。但是“dump_dumpfve.sys”没有了,快捷方式添加后缀的行为依然存在。自行创建的两个空文件都在 “C:\Windows\System32\Drivers\”目录下。驱动启动模式???
https://bbs.csdn.net/topics/392392987