这是一个创建于 3204 天前的主题,其中的信息可能已经有所发展或是发生改变。
xp 系统,所有浏览器都被强制设置为 hao.ylmf.xxx ,金山卫士,毒霸, 360 卫士,什么急救箱,主页修复都试过了,注册表搜索找不到 ylmf ,快捷式没有带尾巴,求 v2 大神
第 1 条附言 · 2016-02-13 19:15:55 +08:00
实在没有办法,重装了系统, ylmf.com 这个该死的东西终于消失了
 |
1
xiaodaigou 2016-02-13 10:16:14 +08:00
换系统
|
 |
2
ech0x 2016-02-13 10:46:33 +08:00 via iPhone
槽点难道不是 xp 吗?
|
 |
3
lin 2016-02-13 10:50:24 +08:00
楼上几位朋友,当然换系统是正路,
但是我觉得楼主提出这个问题,我们是不是可以换个思路,或者换个问题思考:楼主的遇到的问题到底出在什么地方? |
 |
4
tobyxdd 2016-02-13 10:56:20 +08:00
雨林木风??
|
 |
5
shuiandy 2016-02-13 10:58:04 +08:00
提供的信息太少,建议先用 IceSword 之类的工具排查一下进程和 IE 、 Explorer.exe 的线程。
|
 |
6
xmh51 2016-02-13 11:03:55 +08:00
xp 就不要想了,漏洞一大堆。而且被人研究了这么多年了。搞不好是系统级别的。
|
 |
7
Myprincess 2016-02-13 11:06:46 +08:00 via Android
要找到,把整个文件夹删除。我就是这样对 hao123 与 2345 的。很难弄的。
|
 |
8
shenqi 2016-02-13 11:10:25 +08:00 via iPhone
别告诉我你还在用 IE6
|
 |
9
zi 2016-02-13 11:13:32 +08:00
看看浏览器快捷方式的属性中“目标”后面是不是跟了一坨 url
|
 |
10
tuzhis 2016-02-13 11:19:07 +08:00
能强制所有浏览器的多是加载驱动实现的,浏览器主文件改名可以治标,治本找到那个驱动杀了就好了。另外我想吐槽的是就不能找个杀毒专业的来杀么!!
|
 |
14
yeyeye 2016-02-13 12:11:25 +08:00  1
对于没有自查病毒能力的用户,还是老老实实的新建一个快捷方式在后面加上首页网址吧。
真的很难跟你解释“如何解决此类问题”,因为十几年前就有这样的情况了,杀毒软件都给不了你通用的解决方案,只能绑定而不是直接查杀。 另外没有自查病毒能力的用户,还不装杀毒类软件的话,很容易长期进驻病毒却不自知,言尽于此 |
 |
15
kuxiazi 2016-02-13 12:14:58 +08:00 via Android
鬼影? MBR 病毒 不杀掉就算重装系统都白搭
|
 |
18
paradoxs 2016-02-13 12:20:41 +08:00
http://www.360.cn/jijiuxiang/
这个东西救不了的话,没别的能救了。 |
 |
19
wy315700 2016-02-13 12:26:21 +08:00 via Android
组策略里找找
|
 |
20
congeec 2016-02-13 12:30:01 +08:00
内核级别的 hook 你就死心吧,这破玩意儿有漏洞微软也不管
|
 |
21
pimin 2016-02-13 12:50:00 +08:00 via Android
楼上都说得太玄乎了。。。
排查方式不在乎几点 1.有没有后台进程实时检测 2.有没有短网址写入注册表 1 是比较好排查的,可以先做启动项排查,虽然 Windows 启动方式很多,但是太多工具已经帮忙整理出来了。如果排查不到,新下载个无名的浏览器做测试,如果也被劫持,说明有后台进程,继续考虑查毒。 2.打开 ie 相关注册表位置,看看有没有莫名其妙的网址,有就再搜索替换,没有也没什么办法。 如果别的浏览器都搞定了,只剩下 IE 搞不定,就充值 IE 为默认设置,然后重启电脑即可。 |
 |
22
laiyingdong 2016-02-13 12:55:32 +08:00
别告诉我你用了 Ghost 系统 不过这年代 XP 当然被嫌弃啦
|
 |
24
roustar31 2016-02-13 13:21:35 +08:00
这种情况我见过几次,一般是系统被种下了驱动级别的木马。
驱动文件有签名,国内某些软件是白名单的了的。所以拿这些查不出来什么东西 不是什么内核漏洞,也不是注册表快捷方式 url (这都烂到家的招数) |
 |
27
chalio 2016-02-13 13:56:00 +08:00
pchunter 试试
|
 |
28
VmuTargh 2016-02-13 13:57:10 +08:00
wsyschk
|
 |
29
kn007 2016-02-13 13:58:31 +08:00
你居然能用 IE9 。。。或许浏览器本身就是个问题。。。
|
 |
30
Aquamarine 2016-02-13 14:18:12 +08:00
诺顿的 NPE 试试: https://security.symantec.com/nbrt/npe.aspx
|
 |
31
wclebb 2016-02-13 14:19:36 +08:00
额,怎么说呢。
你看看 Explorer.exe 是不是其中 Explorer.exe 的 l 被写成了 1 或大写 I 。 |
|
32
Aquamarine 2016-02-13 14:20:30 +08:00
|
|
33
wy315700 2016-02-13 16:17:11 +08:00 via Android
@Aquamarine 之前测试的时候发现组策略优先级比注册表高
|
|
34
Aquamarine 2016-02-13 17:00:25 +08:00
@wy315700 你是如何测试的?优先级可否举个例子?
|
 |
35
gamexg 2016-02-13 17:35:30 +08:00
可以动手脚的地方太多了,下个 autoRuns 按个检查驱动、映像劫持等内容。
也可以试试通过 procexp 检查下浏览器父进程、启动参数。 |
|
36
gamexg 2016-02-13 17:40:21 +08:00
对了,尝试切断网络再打开浏览器看看 url 到底是什么。
有些恶意劫持为了防止被搜索注册表找出来,默认主页是另一个地址,通过重定向转到 hao.ylmf.xxx 。 |
 |
37
googlefans 2016-02-13 19:35:40 +08:00
@xmh51 不明白为什么现在银行 (开通网银后需要激活 大堂经理用的那个电脑竟然是 xp )商场各种柜台电脑大部分也都是 xp
|
 |
40
Quaintjade 2016-02-13 20:12:11 +08:00 via Android
@googlefans
1.更换代价高(从驱动到用户界面程序各种支持) 2.够用 3.系统和软件测试运行这么多年,发现和修复 N 多 bug ,足够稳定 4.使用环境相对封闭,即使有漏洞也不一定能被利用(比如只能访问内网, USB 被物理封死之类) |
 |
41
ipconfiger 2016-02-13 20:21:31 +08:00
退瘟到死保平安
|
 |
42
ZHenJ 2016-02-13 22:17:05 +08:00
|
 |
43
wbsdty331 2016-02-14 09:46:08 +08:00
XP 最多 IE8 啊?
|
Select Language