火绒安全软件

标题: 鲁大师携带360挟持主页 [打印本页]

作者: 小龙哥 时间: 2025-1-15 16:59
标题: 鲁大师携带360挟持主页
因为旧版Geek不认新版鲁大师（版本号：6.1025.4130.103），所以我是用鲁大师自带的卸载程序卸载的。结果卸完后留下了一个360主页挟持。

[attach]126529[/attach]

Windows版本和火绒版本

[attach]126522[/attach]

火绒浏览器保护功能和锁定主页功能无效

[attach]126528[/attach]

浏览器设置主页功能无效

[attach]126525[/attach]

快捷方式后缀未被篡改

[attach]126524[/attach]

快速查杀未发现风险

[attach]126531[/attach]

专杀工具未识别

[attach]126526[/attach]

病毒弹窗

[attach]126523[/attach]

无法用火绒的弹窗拦截工具查看程序名

尝试几次后，在浏览器中手动更改主页时，病毒试图改回360主页，终于被火绒拦截，点击下次阻止，目前为止未复发。

[attach]126527[/attach]

成功消灭

安全日志：

【1】2025-01-15 12:37:54,系统防护,系统加固,explorer.exe触犯注册表防护规则, 已阻止

防护项目：IE首页项
操作类型：修改
目标注册表：HKEY_USERS\S-1-5-21-2718775513-1044327460-278927132-1001\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
操作结果：已阻止
进程ID：3356
操作进程：C:\Windows\explorer.exe
操作进程命令行：C:\WINDOWS\Explorer.EXE
操作进程校验和：1713667CC6A9E0C2C52542BC6AAA381F867B876D
父进程ID：4508
父进程：C:\Windows\System32\userinit.exe
父进程命令行：C:\Windows\system32\userinit.exe
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

病毒样本：

[attach]126534[/attach]

作者: 火绒运营专员 时间: 2025-1-15 17:04
您好，卸载完鲁大师后有重启电脑吗？看您提供的截图里还有鲁大师的锁定主页的问题，是卸载之前截图的是吗？您当前是希望我们分析下样本吗？

作者: 小龙哥 时间: 2025-1-15 23:27

火绒运营专员发表于 2025-1-15 17:04
您好，卸载完鲁大师后有重启电脑吗？看您提供的截图里还有鲁大师的锁定主页的问题，是卸载之前截图的是吗？ ...

重启过。现在没有挟持了，但是最新版的火绒浏览器保护和专杀都没识别，最终是我通过Edge浏览器修改主页诱发挟持才被系统加固功能拦截的。我分享了安全日志和该版鲁大师的安装包，为以后火绒的升级提供样本。

作者: 火绒运营专员 时间: 2025-1-16 09:09

小龙哥发表于 2025-1-15 23:27
重启过。现在没有挟持了，但是最新版的火绒浏览器保护和专杀都没识别，最终是我通过Edge浏览器修改主页诱 ...

好的，后续有问题您及时联系我们呢，感谢您的反馈

作者: UnknownOoo 时间: 2025-1-16 20:11

小龙哥发表于 2025-1-15 23:27
重启过。现在没有挟持了，但是最新版的火绒浏览器保护和专杀都没识别，最终是我通过Edge浏览器修改主页诱 ...

https://bbs.huorong.cn/thread-133264-1-1.html

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)