火绒安全软件

标题: 主页被劫持为cn.bing.com [打印本页]

作者: keep_up 时间: 2020-3-5 13:03
标题: 主页被劫持为cn.bing.com
本帖最后由 keep_up 于 2020-3-5 13:28 编辑

影响范围：电脑中的所有浏览器，含msedge/firefox/iexplore
本人从下面几个方面排查了问题：

1. 执行手段：用cmd方式打开浏览器对应exe/lnk文件均无问题，可以跳转到浏览器设置中的主页；
但若通过开始菜单/任务栏/文件浏览器等方式打开，则会被劫持到cn.bing.com

2. 快捷方式：无附加参数，用cmd方式打开lnk不会出现劫持情况

3. 安全软件：之前用过360的主页防护，但早已卸载不用；目前只留了火绒，并且未设置浏览器防护
驱动精灵之类的软件更是没碰过

4. 注册表：Start Page值是空的，其他位置未出现cn.bing.com字样

……
综合分析，可能是explorer被不明程序劫持了，但作为小萌新一枚，不知道该怎么去找到这个捣蛋的程序。求助！
刚开始的指令没有问题：13:22:36:381, Explorer.EXE, 9228:0, 0, PROC_exec, C:\Program Files (x86)\Microsoft\Edge Beta\Application\msedge.exe, target_pid:11724 cmdline:'"C:\Program Files (x86)\Microsoft\Edge Beta\Application\msedge.exe" ' , 0x00000000 [操作成功完成。  ],

结果执行的时候变样了：13:22:36:463, Explorer.EXE, 9228:0, 0, PROC_exec, C:\Program Files (x86)\Microsoft\Edge Beta\Application\msedge.exe, target_pid:6816 cmdline:'"C:\Program Files (x86)\Microsoft\Edge Beta\Application\msedge.exe" https://cn.bing.com' , 0x00000000 [操作成功完成。  ],

对firefox，不明程序更是会贴心地加上-new-tab参数，可见还会智能识别浏览器的款式

13:27:10:128, firefox.exe, 376:0, 376, EXEC_create, D:\program_user\Mozilla Firefox\firefox.exe, parent_pid:9228 cmdline:'"D:\program_user\Mozilla Firefox\firefox.exe" -new-tab  https://cn.bing.com' image_base:0x00007FF6A7300000 image_size:0x00092000 , 0x00000000 [操作成功完成。  ],

作者: keep_up 时间: 2020-3-5 13:31
本帖最后由 keep_up 于 2020-3-5 13:37 编辑

如果需要更详细的信息，我会全力配合

作者: 火绒运营专员 时间: 2020-3-5 13:55
您好，建议您使用火绒专杀和快扫进行查杀，重启电脑，如果仍然无法解决问题，请添加QQ：2208613431，我们远程帮您看下~

作者: keep_up 时间: 2020-3-5 14:04

火绒运营专员发表于 2020-3-5 13:55
您好，建议您使用火绒专杀和快扫进行查杀，重启电脑，如果仍然无法解决问题，请添加QQ：2208613431，我们远 ...

用了普通扫描和专杀，都没有扫描到问题；现在我加下QQ~

作者: keep_up 时间: 2020-3-5 14:38
刚刚工程师们看了下，原来是”联想电脑管家“的功能忘记关了；
不过它的防护功能会使得UWP软件的跳转链接异常，我得去那边反馈一下
最后……谢谢啦！

作者: 火绒运营专员 时间: 2020-3-5 14:57
您好，您的问题已通过远程解决，感谢您的反馈~

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)