V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
fanjusting
V2EX  ›  程序员

遇到最顽固的 2345 首页劫持,网上各种方法都试了

  •  
  •   fanjusting · 2015-08-19 21:27:46 +08:00 · 26023 次点击
    这是一个创建于 3385 天前的主题,其中的信息可能已经有所发展或是发生改变。
    装了一个百度云的限速破解补丁 然后就中招了。打开所有的游览器( ie chrome 七星 ……)都会被劫持到 http://www.2345.com/?33039 ,劫持的方式没不是在“目标”里面加入网址,但是对游览器改名就正常。通过 process explorer 观察进程 发现命令行中 变成了 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.2345.com/?33039 父进程为空。网上有说是 explorer.exe 的问题 但是直接通过任务管理器打开也还是被劫持 通过软件观察加载的 dll 也没有问题。最后还发现个并发症 hosts 文件失效 在里面加入的内容 ping 的时候根本不是那个 ip (已重启 刷新 dns 缓存)

    看来这回遇到高手了
    92 条回复    2016-04-06 15:51:48 +08:00
    myleon
        1
    myleon  
       2015-08-19 21:34:37 +08:00
    额 虽然都不推荐 360
    但是建议你装 360 然后安全模式 保证能"药到病除"
    qian19876025
        2
    qian19876025  
       2015-08-19 21:37:43 +08:00
    现在我用的是 直接把浏览器的 可执行文件更改一些名字
    kliy
        3
    kliy  
       2015-08-19 21:37:55 +08:00
    360 以毒攻毒
    fanjusting
        4
    fanjusting  
    OP
       2015-08-19 21:48:16 +08:00
    @myleon 360 也试了 查不出病毒来
    myleon
        5
    myleon  
       2015-08-19 21:50:10 +08:00
    @gaojingtian1234 安全模式下 360 全盘扫+360 急救箱 百试百灵
    vpncup
        6
    vpncup  
       2015-08-19 21:50:54 +08:00 via Android
    重装系统
    yangyouzhi
        7
    yangyouzhi  
       2015-08-19 21:51:52 +08:00
    用 360 急救箱应该可以解决。个人觉得 360 急救箱还不错。。。
    shierji
        8
    shierji  
       2015-08-19 21:52:09 +08:00 via Android
    我记得有一些注册表项目 。。。以前遇到过类似的 很恶心 建议直接重装
    lewiseek
        9
    lewiseek  
       2015-08-19 21:53:22 +08:00
    我也遇到过,但上次把可执行文件改成只读,就没出过这个事了
    kikyous
        10
    kikyous  
       2015-08-19 21:58:13 +08:00
    是不是快捷方式被改了
    qian19876025
        11
    qian19876025  
       2015-08-19 21:59:59 +08:00
    http://www.iefans.net/ie-zhuye-jiechi-www-2345-com-kunown/  
    这个网页看看上面的方法行不
    twitterpig
        12
    twitterpig  
       2015-08-19 22:00:19 +08:00
    这么毒呀~囧~话说百度云的限速破解补丁有下到没毒的吗?怎么样了,干过 2345 了木有?
    twitterpig
        13
    twitterpig  
       2015-08-19 22:11:10 +08:00
    @lewiseek 改成只读影响正常使用不?
    tnx2014
        14
    tnx2014  
       2015-08-19 22:18:24 +08:00
    肯定被改注册表了,不借助工具除非你精通注册表才能知道改了哪条。

    有一个方法可以试试,把文件传到火眼之类的行为分析沙盒,跟踪一下也许有可能找到被修改的地方。

    避免这种悲剧的最好办法是利用系统还原,定期创建还原点,出了问题还原就可以,一般来说保护系统分区和装软件的分区就行了。
    fanjusting
        15
    fanjusting  
    OP
       2015-08-19 22:29:45 +08:00
    @myleon 没用 只会把我装的一些破解软件给删掉
    fanjusting
        16
    fanjusting  
    OP
       2015-08-19 22:30:41 +08:00
    @kikyous 不是 直接打开安装目录下的也被劫持 用任务管理器打开还是劫持
    fanjusting
        17
    fanjusting  
    OP
       2015-08-19 22:32:03 +08:00
    @qian19876025 链接失效了
    gs038538
        18
    gs038538  
       2015-08-19 22:33:29 +08:00 via Android
    360 以毒攻毒 百试不爽
    niceworld
        19
    niceworld  
       2015-08-19 22:34:24 +08:00   ❤️ 2
    百度云的话你可以装老版本的 就不用找有毒的破解补丁了 先卸载 再断网安装 然后把安装目录下 AutoUpdate 文件里的 Autoupdate.exe 的所有权限全部取消就可以了 这样它就不能强制你更新了
    amrta
        20
    amrta  
       2015-08-19 22:38:22 +08:00
    @vpncup 我怀疑是不是很久以前用过你家的 vpn
    tnx2014
        21
    tnx2014  
       2015-08-19 22:41:20 +08:00
    @niceworld 老版本早已限速,已经无用了,最高 1.1MB/s 。

    破解的话找比较可信的人出的已经破解好的版本,还是可以的。楼主找到加料补丁只能说是自己不慎。
    qian19876025
        22
    qian19876025  
       2015-08-19 22:45:57 +08:00
    @gaojingtian1234  把斜杠给去掉现在我也是类似的情况
    中招方式下第三方的制作的系统镜像 然后镜像里面啥都有 NM 这货居然在里面搞了好几个驱动文件
    到现在逼的没办法只能改 浏览器名字
    tabris17
        23
    tabris17  
       2015-08-19 22:47:04 +08:00
    @kikyous 快捷方式+1 。我也碰到过,就是快捷方式被改了
    niceworld
        24
    niceworld  
       2015-08-19 23:19:31 +08:00
    @tnx2014 限 1.1m 么?就 10m 的网 没感觉....用新版的倒是会限到 500k
    h404bi
        25
    h404bi  
       2015-08-19 23:21:18 +08:00
    组策略启用禁止修改主页
    tnx2014
        26
    tnx2014  
       2015-08-19 23:23:40 +08:00
    @niceworld 10M 正好达到顶峰,再高的话就会看出被限速了。不过一般也够用了,下载超大文件除外,不放心补丁的建议可以一直用旧版。
    shengruoyu
        27
    shengruoyu  
       2015-08-19 23:26:51 +08:00
    我记得知乎上说是注册表被改或者 dll 文件被改。珍爱生命,远离国产软件啊
    zjxubinbin
        28
    zjxubinbin  
       2015-08-19 23:37:39 +08:00
    IFEO?
    archbishop
        29
    archbishop  
       2015-08-20 00:46:02 +08:00
    搜一遍注册表
    justpayne
        30
    justpayne  
       2015-08-20 02:00:11 +08:00
    系统还原最方便
    Laforet
        31
    Laforet  
       2015-08-20 05:00:02 +08:00
    @qian19876025 这是全局钩子监视浏览器进程,没办法防。早点重装系统好了,你不知道还有什么后门。
    laiyingdong
        32
    laiyingdong  
       2015-08-20 05:54:22 +08:00
    百度云建议是找 4.6 的那个旧版 要不然就是切换成 wap 手机版找到真实地址走迅雷或者 IDM

    你这是中木马了?自己找软件杀吧 估计 360 也行

    http://jifen.2345.com/ 记得去找 2345 投诉 臭骂一顿 那个“技术员”应该会封号的
    wwqgtxx
        33
    wwqgtxx  
       2015-08-20 08:03:37 +08:00 via Android
    @laiyingdong 现在 wap 版经常不给大文件的下载地址了
    yakczh
        34
    yakczh  
       2015-08-20 08:07:03 +08:00
    hosts 中加入 127.0.0.1 www.2345.com
    fireway456
        35
    fireway456  
       2015-08-20 08:55:19 +08:00 via Android
    应该是改了卓面上浏览器的快捷方式指向。我上次中过招。你看看
    iqav
        36
    iqav  
       2015-08-20 08:59:05 +08:00
    换我,我会去注册表搜一遍 “ 2345.com ”,把它们全删掉。
    虽然不懂,但就应该有点作用。
    vicalloy
        37
    vicalloy  
       2015-08-20 08:59:56 +08:00
    查一下计划任务
    world
        38
    world  
       2015-08-20 09:02:10 +08:00
    你竟然相信 所谓的“限速破解补丁”
    invite
        39
    invite  
       2015-08-20 09:03:28 +08:00
    这货现在还能存在,搞不好就是 360 自己搞的,刚出来那会就搞过这样的事情。
    omen
        40
    omen  
       2015-08-20 09:12:22 +08:00
    在快捷方式上右键-属性-快捷方式-目标-看看最后是不是有个网址,有就删掉,
    如果这招不管用就直接装个魔方(绿色版)打开守护功能,守护功能里有一个首页守护调成空白页就可以了。
    zhangchioulin
        41
    zhangchioulin  
       2015-08-20 09:14:09 +08:00
    @myleon 之前我也是被劫持,什么办法都没用,最后还是向 360 低头了
    jeremaihloo
        42
    jeremaihloo  
       2015-08-20 09:14:27 +08:00
    直接用不限速绿色版不久行了,打什么补丁。。
    gamexg
        43
    gamexg  
       2015-08-20 09:16:47 +08:00
    可能是映像劫持 http://www.cnblogs.com/soli/archive/2008/10/19/1314510.html
    也有可能 exe 文件类型直接被修改了 https://support.microsoft.com/zh-cn/kb/950505
    gamexg
        44
    gamexg  
       2015-08-20 09:20:28 +08:00
    Autoruns image hijacks 位置
    quericy
        45
    quericy  
       2015-08-20 09:38:17 +08:00
    还是系统还原吧,如果最近的一个还原点够新的话
    foo2bar
        46
    foo2bar  
       2015-08-20 09:39:19 +08:00
    之前遇到这个问题,试过了种种方法无果折腾了几个小时我放弃了,“系统还原”到了前一个还原点终于解决了 TAT
    pheyer
        47
    pheyer  
       2015-08-20 09:41:34 +08:00
    自从用上了 Mac ,再也不用烦心这些操蛋的事情
    Aixtuz
        48
    Aixtuz  
       2015-08-20 09:51:49 +08:00
    之前遇到过,用的 25 楼 策略组 搞定的。
    annielong
        49
    annielong  
       2015-08-20 12:27:52 +08:00
    写注册表都是简单的, 2345 这个应该是组合型的,包括自启软件、 dll 注入等多种方式混合产生作用,每次重启自动更新重新安装,
    fetich
        50
    fetich  
       2015-08-20 15:32:52 +08:00
    网上方法没有「重装系统」这一招么?
    ershiwo
        51
    ershiwo  
       2015-08-20 16:15:31 +08:00 via Android
    如果有还原点做系统还原可破,没有重装。之前处理过一个,系统还原修好的。
    我看过一个 dnf 外挂,是靠注册表写入篡改的主页,虽然我忘了那个键值。。。。。
    ershiwo
        52
    ershiwo  
       2015-08-20 16:18:02 +08:00 via Android
    @annielong 正常 2345 推广包是靠锁定主页加自启守护进程保证主页不被修改的,但是卸载或用 360 可以锁定别的主页。写注册表那种真的是恶意推广了。
    novaeye
        53
    novaeye  
       2015-08-20 17:08:42 +08:00
    以前碰到过偷偷安装了驱动的劫持. 看看设备管理器里非即插即用驱动程序列表有没有可疑的家伙(貌似要先在"查看"菜单里选中"显示隐藏的设备").
    IronXiao
        54
    IronXiao  
       2015-08-20 18:12:59 +08:00
    @tnx2014 用 IDM 啊,前几天我看别人用百度云分享的视频,百度云说登录才能看, IDM 说我能下载下来,然后就下下来看了,当时我就震惊了!
    tnx2014
        55
    tnx2014  
       2015-08-20 18:37:38 +08:00
    @IronXiao 一般的大文件不能直接用 IDM ,要解析到直接的地址才行,反正都是两步,不如用百度云。你这个例子能成功是因为 IDM 会自动解析 flash 视频流,但是一般是云转码过的,也不是源文件。换成其他类型的文件,不一定能用。

    IDM 的缺点是它分割出来的文件块全部放在系统临时文件中,如果你下载超大文件在下载过程中会非常占 C 盘空间,假如你没移动临时文件夹的话,对于 C 盘过小的同学来说,最后合并文件块的过程很痛苦。

    另外它的 Chrome 浏览器扩展很容易卡浏览器。
    Angdo
        56
    Angdo  
       2015-08-20 19:37:37 +08:00 via iPhone
    记得 2345 有过添加系统驱动的例子
    a990567
        57
    a990567  
       2015-08-20 19:40:11 +08:00
    @tnx2014 不知道你说的大文件是多大,我下载 10G 的游戏都是用 IDM ,直接满速。
    rwalle
        58
    rwalle  
       2015-08-20 19:41:41 +08:00 via Android
    @tnx2014 IDM 可以换临时文件夹的,另外最新版本的 IDM 应该不卡浏览器
    a990567
        59
    a990567  
       2015-08-20 19:41:55 +08:00
    @IronXiao IDM 可以下载百度云 wap 的, http://pan.baidu.com/wap/home ,好像还不限速。
    a990567
        60
    a990567  
       2015-08-20 19:43:39 +08:00
    我之前也碰到这个 2345 浏览器主页的, IE11 怎么修改过一会变回来了,最后下载一个 360 卫士,弄好了又删了 360 。。。。。。。。。。。。。。
    honeycomb
        61
    honeycomb  
       2015-08-20 19:45:49 +08:00
    这种事情可能是驱动级别的病毒
    我记得 freebuf 还是乌云好像有提到过这种百度限速补丁为名的病毒
    你可以去查看一下

    ----------------------------
    但是最干净的办法是重装
    ----------------------------
    此外,以后遇到这种需要运行未签名(总之就是不可信)软件的时候, sandboxie/虚拟机是个好东西
    很多病毒见到虚拟机经常会自行停止运行(它也怕反编译)
    tnx2014
        62
    tnx2014  
       2015-08-20 20:00:05 +08:00
    @rwalle wap 好像已经限速了吧?你下过 10G 大文件满速?我可是说必须用百度云下的文件,直接解析出地址的不算。
    yanfengzi945
        63
    yanfengzi945  
       2015-08-20 21:42:20 +08:00
    我之前也遇到这个问题,网上所有的办法基本都试过了折腾了几天最后用 HitmanPro_x64 这个软件解决了,你可以试试。 软件链接: http://pan.baidu.com/s/1hqF9fEk 密码: ua4b
    realpg
        64
    realpg  
       2015-08-20 22:25:08 +08:00
    驱动钩子,算是比较厚道的只监控指定进程名进行 hook
    这样对计算机的综合性能影响小,不会啥也不干 CPU 就 20%,非常厚道了
    eirk2004
        65
    eirk2004  
       2015-08-20 23:47:14 +08:00
    中毒了,先去装个杀毒软件。再用 ARK 工具(例如 PC Hunter )排查可疑驱动
    zhangyh26258
        66
    zhangyh26258  
       2015-08-21 01:38:19 +08:00 via Android
    … …建议重装
    rwalle
        67
    rwalle  
       2015-08-21 06:56:26 +08:00
    @tnx2014 你有没有看清楚我在说什么。。。
    riverphoenix
        69
    riverphoenix  
       2015-08-21 09:15:42 +08:00
    应该是改注册表了,前天刚中过百度大礼包的毒,修改注册表就好了
    fanjusting
        70
    fanjusting  
    OP
       2015-08-21 10:03:13 +08:00
    @twitterpig 木有 把游览器改名 暂且用着
    fanjusting
        71
    fanjusting  
    OP
       2015-08-21 10:05:45 +08:00
    @yakczh 没有用 主页被劫持的并发症就是 hosts 文件彻底失效
    fanjusting
        72
    fanjusting  
    OP
       2015-08-21 10:06:09 +08:00
    @iqav 找不到
    wuchizhitu1988
        73
    wuchizhitu1988  
       2015-08-21 10:09:48 +08:00
    不懂为什么要去用这种破解
    quericy
        74
    quericy  
       2015-08-21 10:15:43 +08:00
    油猴有百度云的助手脚本,可以绕过大文件限制而且貌似比 wap 取到的下载地址有时候还快一点,配合 IDM 简直酸爽~~~

    @tnx2014 IDM 临时文件夹和下载文件夹在同一个分区大文件就会好很多,或者直接 SSD¬_¬
    2015813
        75
    2015813  
       2015-08-21 10:18:13 +08:00 via iPhone
    修改 hosts , yakcH 的方法有用。
    ytf4425
        76
    ytf4425  
       2015-08-21 10:32:48 +08:00
    百度云试试一个叫做“百度干净云”的东东,顺便,你能把病毒样本发上来么
    fanjusting
        77
    fanjusting  
    OP
       2015-08-21 10:42:02 +08:00
    @novaeye @Angdo @qian19876025 @novaeye @honeycomb 谢谢大家 真的是驱动的问题 windows\system32\drivers 下多了个 mslmedia.sys 对应的注册表服务也有这个服务 删掉之后 世界顿时清净了 http://zhidao.baidu.com/question/873890343675646492.html?fr=iks&word=Mslmedia.sys&ie=gbk 大家以后可以参考
    LightQuantum
        78
    LightQuantum  
       2015-08-21 10:49:32 +08:00
    好坑啊 2345 学会驱动了!一个流氓软件写驱动!真不要脸
    rootsir
        79
    rootsir  
       2015-08-21 11:06:46 +08:00
    来浦东软件园 找 2345 他们解决问题
    JackDong
        80
    JackDong  
       2015-08-21 11:39:38 +08:00 via iPhone
    额....之前金山绑定主页以毒攻毒弄好了,毒霸的绑定主页防止恶意更改还是有点用的。虽然国内这些真的很讨厌。
    ifishman
        81
    ifishman  
       2015-08-21 11:49:33 +08:00
    @LightQuantum 并不是 2345 写的这个驱动,而是个人为了推广赚佣金写的,在 E 语言外挂界已经流传很久了, 32 位必须用这个驱动才能读写到游戏内存,这个百度破解补丁同理的
    LightQuantum
        82
    LightQuantum  
       2015-08-21 12:51:11 +08:00
    @ifishman 嗯,了解了
    raybai
        83
    raybai  
       2015-08-21 13:45:12 +08:00
    换个网络环境看看,是否是运营商劫持。
    Explorare
        84
    Explorare  
       2015-08-21 13:49:54 +08:00
    关于限速问题,可以用 Aria2c 搭配 BaiduExporter 下载,实测无限速。
    stblueice
        85
    stblueice  
       2015-08-21 14:01:12 +08:00
    楼主试试看这里的方法怎样 http://www.sdbeta.com/mf/2014/1128/24207.html
    jafer
        86
    jafer  
       2015-08-21 14:11:40 +08:00
    2345 钱多,你妹的估值都 500 亿,坑爹的还干缺德事,大家齐心协力把它祖坟给挖了。顺便问下高手,怎么样让 2345 这样的垃圾公司挂掉
    sky170
        87
    sky170  
       2015-08-21 17:51:10 +08:00 via iPhone
    三鹿灵以毒杀毒
    jadefengling
        88
    jadefengling  
       2015-08-21 20:28:40 +08:00 via iPhone
    @jafer DDOS
    jafer
        89
    jafer  
       2015-08-21 20:36:33 +08:00
    @jadefengling 贴出详细操作步骤,让菜鸟都能用,最好搞成一键攻击
    moro
        90
    moro  
       2015-08-21 20:42:18 +08:00
    用沙盘安装一遍病毒,你就知道他干了什么了。
    went
        91
    went  
       2015-08-21 20:49:41 +08:00
    整那么多,你可能是中招了,查看一下控制面板卸载程序里面是否有什么古怪的程序,搜索一下。我之前被偷偷安装了一个程序,会给 chrome 添加一个广告插件,怎么卸载都没用,最后在这里找到了原因。
    ChangHaoWei
        92
    ChangHaoWei  
       2016-04-06 15:51:48 +08:00
    @quericy 不错。不过 按原理来说就是 wap 抓的 下载链接
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2679 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 15:22 · PVG 23:22 · LAX 07:22 · JFK 10:22
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.