V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 2687 天前的主题，其中的信息可能已经有所发展或是发生改变。

老爸电脑装了个搜狗输入法,好用是好用,吃相太难看了....

IE 主页被劫持到 123.sougou.com 以下是我试过的方法:

注册表常用的主页键值都改过了,没用.
在跳转到 123.sougou.com 的一瞬间会到一个中间网址,这个网址在注册表中也找到了,删掉对应键值,依然不起作用
不定时弹出各种广告,去不掉
IE 选项也改过了,没用
IE 快捷方式也没有设置启动参数
杀毒软件没有报毒

百度和谷歌上的方法都用过了,没有效果

扔到虚拟机中测试,连续开启 72 小时,没有装任何杀毒软件,没有劫持主页行为,我估计搜狗检测 VMware 线程了.

第 1 条附言 · 2017-07-16 07:46:32 +08:00

是这样的，因为我爸有两台电脑，一台在家中的台式，在之前就有被搜狗导航劫持的行为一直解决不了。另外一台是笔记本，笔记本系统是我装的，应我爸要求装的 win7 （工作软件原因）然后我给他装的搜狗输入法，我在外地上学给他邮寄回去，然后过了两天也出现相同的行为，大家说不是搜狗劫持也很有道理我回去找找两台电脑相似的软件
尝试过在虚拟机里用 malwaredefender 找原因但问题就是不复现，我又无法完全模拟老爸的使用场景……蓝瘦

主页

键值

劫持

搜狗

53 条回复 • 2017-07-17 08:27:45 +08:00

raikkonien

2017-07-15 20:22:04 +08:00 via Android

改 host,眼不见为净

yylzcom

2017-07-15 20:23:20 +08:00

无脑推荐火绒，国产里比较干净的一家了

CEBBCAT

2017-07-15 20:27:40 +08:00 via Android

打开搜狗的设置试试

此帖终结

rssf

2017-07-15 21:36:50 +08:00 via iPhone

为何不删除

seasstyle

2017-07-15 22:04:49 +08:00 via Android

国内的流氓世家都被我全部监禁或者 ko 了

rosu

2017-07-15 22:05:06 +08:00 via Android

用搜狗很久，没有遇到。

xx998

2017-07-15 22:07:56 +08:00 via Android

用修改版！
或者换其他输入法

Perseus1812

2017-07-15 22:12:29 +08:00 via Android

换 bing 输入法

NonClockworkChen

2017-07-15 22:25:44 +08:00

mac 和 win 都没遇到过....建议你再查查...

hand515

2017-07-15 22:48:29 +08:00

安装的时候一路默认下去是很危险的，尤其是国产软件

Aar0nFr4nk

2017-07-15 23:36:55 +08:00 via iPhone

我平时都是去下网上所谓的绿色版精简版一般会被精简很多无用的东西只保留最原始即打字的功能……建议楼主解决了主页劫持的问题后可以试试..另外国产那些流氓杀软应该很有办法对付这些[捂脸笑]

yongyuhi

2017-07-15 23:40:33 +08:00 via Android

可能不是搜狗，估计安装包中加了脚本，查下启动项，有没有奇怪的脚本，看下系统中有没有奇怪的 exe。

miaomiao888

2017-07-15 23:45:11 +08:00

关键字：WMI 劫持

Baymaxbowen

2017-07-15 23:47:32 +08:00 via Android

推荐手心输入法，但是好像是数字家的，但还是很干净

anyele

2017-07-16 00:06:31 +08:00

QQ 输入法, 没广告, 没绑定

kamen

2017-07-16 00:09:30 +08:00 via Android

sudo pacman -S fcitx-sougoupinyin

dream7758522

2017-07-16 00:20:02 +08:00 via Android

并没有，用的是搜狗输入法

Vizogood

2017-07-16 07:39:11 +08:00 via Android

@yylzcom 装了火绒没有用

Vizogood

2017-07-16 07:39:53 +08:00 via Android

@raikkonien 没用改过了只会在 IE 启动的开始提示你的链接不是安全链接

Vizogood

2017-07-16 07:40:07 +08:00 via Android

@CEBBCAT 没有都找过了……

Vizogood

2017-07-16 07:40:53 +08:00 via Android

@rssf 老爸因为工作原因用的 win7 而多年来用的最习惯的输入法就是搜狗

Vizogood

2017-07-16 07:41:43 +08:00 via Android

@hand515 是我亲自安装的……我还很注意很注意的将所有可能的选项都弄过了

Vizogood

2017-07-16 07:47:09 +08:00 via Android

@miaomiao888 谢谢我找找

XiLemon

2017-07-16 08:26:13 +08:00 via iPhone

在 Ubuntu 里装了一个，Firefox 首页变成搜狗的了，目前还没有找到解决方案，求问？

zvcs

2017-07-16 08:43:23 +08:00 via iPhone

手心输入法哈哈哈

boboliu

2017-07-16 08:50:36 +08:00

https://loaris.com/get-loaris/ 试试这货，肛 PUP 和主页挺好用的。
https://www.zemana.com/ 或者这个，效果也可以
最后你要是担心自己中了什么 rootkit 可以抢救一波：
- https://security.symantec.com/nbrt/npe.aspx
- http://www.360.cn/jijiuxiang/index.html

wangxiaoer

2017-07-16 08:53:22 +08:00

360 扫一下，这种事情还是流氓老大才能搞定吧

nosmile

2017-07-16 09:17:07 +08:00 via Android

我一般实在没办法用国内的软件的话，都是去 52pojie 下载去广告版绿色版本

Suddoo

2017-07-16 10:55:40 +08:00

卸载搜狗，换小狼毫输入法

kokutou

2017-07-16 11:39:20 +08:00 via Android

装个火绒一扫就出来了。。。

honeycomb

2017-07-16 12:21:49 +08:00 via Android

给你爹买一台 mac 吧

Vizogood

2017-07-16 12:22:12 +08:00 via Android

@kokutou 装的就是火绒照样被劫持

Vizogood

2017-07-16 12:22:39 +08:00 via Android

@XiLemon 还有这种操作……

Vizogood

2017-07-16 12:23:00 +08:00 via Android

@boboliu thanks

virusdefender

2017-07-16 12:28:06 +08:00

装 360 查一下吧，感觉还是比较有用的

Robots

2017-07-16 12:30:49 +08:00

http://www.xdowns.com/soft/1/16/2014/Soft_117689.html
很强力

xvx

2017-07-16 16:16:44 +08:00

人懒，不想再浪费时间去处理这些蛋疼玩意了，所以后来就干脆不用搜狗了。

yukimio

2017-07-16 16:40:55 +08:00

卡饭论坛有精简去广告纯输入法保留版。一直用的是这种。
另搭车问，中了一种执行 exe 就自动生成 mgr 同名 exe 的病毒（？怎么处理……
一众扫毒扫了个遍，无效。删除后会再生成（但不是每个 exe 都会生成）。重装后还不行。现在是建立一个同名只读空文件凑合用着，但看着难受。
求教求教。

usedname

2017-07-16 17:23:19 +08:00

卸载，用 ms 自带的，此贴终结。

Athrob

2017-07-16 18:14:29 +08:00

https://www.athrob.me/archives/13/
看看这个有帮助吗?

Vizogood

2017-07-16 18:44:12 +08:00

@honeycomb 软件只支持 win7 办公电脑,我想装 win10 都不行

Marfal

2017-07-16 18:45:11 +08:00

都用国产了，哪家都一样，用手心吧，无弹窗，而且界面 100%复刻搜狗

Vizogood

2017-07-16 18:45:33 +08:00

@virusdefender 是时候得这样了,看你的名字 ,你也是做反病毒的?

Vizogood

2017-07-16 18:45:52 +08:00

@Robots ok

virusdefender

2017-07-16 18:46:18 +08:00

@Vizogood #43 好多年前的事情了

Vizogood

2017-07-16 18:46:47 +08:00

@usedname win7 的输入法易用程度老铁你用的下...?

Vizogood

2017-07-16 18:47:55 +08:00

@virusdefender 我原来也做过反病毒,我还写过流氓软件终结者,现在被一个劫持主页打败了

usedname

2017-07-16 19:25:03 +08:00

@Vizogood #46 不知道 win7 的必应输入法有没有升级，反正在 win10 上我是一直用的必应。

acess

2017-07-16 20:24:31 +08:00

刚刚安装搜狗，并没有被改主页。不过安装程序结束时确实有个框是设置主页为搜狗导航。

acess

2017-07-16 20:38:02 +08:00

注册表方面，不知道 LZ 有没有检查过组策略有关的注册表项。如果是改过又被改回来，Process Monitor 支持 Boot Logging，不过你老爸跟你离得远的话，这个就太麻烦了……
除了这些，就是比较猥琐的木马手段了吧，前一阵子看到的分析：
http://www.freebuf.com/articles/web/131156.html
也许 LZ 需要 PCHunter （查一下 Explorer 在应用层有没有 Hook，还有 LoadImage 回调等）、Autoruns、Process Explorer 等工具。
考虑最倒霉的情况，就是中了木马……这样的话，MBR 和 PBR 也不能放过，可以用 BOOTICE 在 U 盘启动的情况下先备份出 MBR 和 PBR，再传 VirusTotal 扫描。

acess

2017-07-16 20:39:59 +08:00

前一阵子才碰到身边有人中 PBR Bootkit，赛门铁克的数据库显示名字好像叫 Cidox，是 N 年前的老病毒……
电脑管家报道的“异鬼”和它的行为也比较吻合……
表面能看到的行为就是改主页。

acess

2017-07-16 20:41:05 +08:00

在找到问题源头之前，我不觉得用别的工具锁主页是个好主意。

Vizogood

2017-07-17 08:27:45 +08:00

@acess 我打算试试 process monitor 和 PCHunter WMI 没有找到事件绑定..

大家对于搜狗输入法劫持主页有什么好的解决办法?

老爸电脑装了个搜狗输入法,好用是好用,吃相太难看了....

IE 主页被劫持到 123.sougou.com 以下是我试过的方法:

百度和谷歌上的方法都用过了,没有效果

扔到虚拟机中测试,连续开启 72 小时,没有装任何杀毒软件,没有劫持主页行为,我估计搜狗检测 VMware 线程了.