火绒安全软件

标题: 用了专杀工具主页还是被劫持 [打印本页]

作者: 昨日小睡 时间: 2020-2-11 16:57
标题: 用了专杀工具主页还是被劫持
在网上下了一个小马激活，附网址：http://jhgj.yhhssh.cn/，激活完后chrome主页就被劫持了。

chrome://version/查看命令行被篡改，其他的没辙，用了火绒扫描，钩子修复，火绒专杀都不行，求救！！！

作者: 火绒运营专员 时间: 2020-2-11 17:07
您好，已添加您论坛注册的QQ，我们远程帮您看下吧~

作者: lifan88 时间: 2020-2-11 19:45
楼主能否将该小马激活上传到这里？附件太大用lanzou云

作者: zay365 时间: 2020-2-11 19:53

lifan88 发表于 2020-2-11 19:45
楼主能否将该小马激活上传到这里？附件太大用lanzou云

网址不是已经附在上面了吗

作者: HR-XY 时间: 2020-2-11 19:58
这些改主页的隐藏程序防不胜防，我的前几天也被2345劫持了，最后没办法，直接文件管理器全盘搜索2345，直接删掉相关的文件就解决了

作者: lifan88 时间: 2020-2-11 22:32

zay365 发表于 2020-2-11 19:53
网址不是已经附在上面了吗

woc我以为是被锁的网站。。。

作者: lifan88 时间: 2020-2-11 22:46

zay365 发表于 2020-2-11 19:53
网址不是已经附在上面了吗

360报道过的，mlxg型rootkit的锁主页

虚拟机测试全部被hips提取文件。。。

作者: lifan88 时间: 2020-2-11 23:04

zay365 发表于 2020-2-11 19:53
网址不是已经附在上面了吗

两个驱动，一个锁主页+对抗，另一个保护文件，是r3+r0体系的
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km\DvUpdate.exe
\Device\HarddiskVolume4\Users\Stupid\AppData\local\Mlxg_km
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km\DumpUp.exe
\Device\HarddiskVolume4\Users\Stupid\AppData\local\Mlxg_km
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km\Windows Mobile User Experience Server.exe
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km\SXKGPNEB.sys
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km\GQJABAQR.sys
\Device\HarddiskVolume4\Users\\AppData\local\Mlxg_km

并且还有两个捆绑衍生物

作者: lifan88 时间: 2020-2-12 14:23
楼主会用pchunter吗？会用的话非常好解决

作者: zay365 时间: 2020-2-12 20:36
http://www.360.cn/n/11456.html
用360急救箱强力模式杀两遍

作者: 火绒运营专员 时间: 2020-2-17 16:15
您好，已经添加您QQ啦，麻烦通过一下~

作者: 火绒运营专员 时间: 2020-2-17 16:58
您好，您的问题已经通过远程解决，感谢反馈~

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)