本帖最后由 小龙哥 于 2023-9-18 10:47 编辑
问题:Windows 7中hao123网址导航挟持IE浏览器主页
日期:2023.8.18-2023.9.4(2023.9.18验证期满)
难点:在“IE浏览器设置→Internet选项→常规”中设置主页功能无效,包括下面的三个“使用”按钮。
第一次解决:
1.Win+R输入regedit打开注册表
2.打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer,单击MAIN文件夹
3.看到右边,分别右键点击Default_Page_URL、First Home Page、Start Page修改数据为“about:blank”
4.全部修改完成后,打开IE浏览器,第一次打开可能会卡一段时间,甚至提示错误,但是一段时间后发现主页变成了空白页,hao123对主页的挟持已解除。第二次及之后打开IE浏览器时,速度明显变快。
复发1:
几天后,桌面上无端出现两个图标(百度和某网游,均为网页),IE浏览器和Edge浏览器的主页又被hao123劫持,设置中修改无效,整个注册表都没有“hao123”(第一次解决第二步的数据仍为about:blank)的情况下仍被hao123网址导航挟持主页。
第二次解决
1.使用“火绒→安全工具→系统修复”扫描发现注册表被恶意篡改,修复并重启。
2.重启后hao123仍然想恶意篡改主页,被火绒阻止并右下角弹窗提醒,选择“下次自动处理”并点“阻止”。
3.打开IE浏览器,发现是hao123主页,在“IE浏览器设置→Internet选项→常规”中把主页设为about:blank。重启浏览器,发现主页变成空白页。
4.打开edge浏览器,发现是hao123主页,在“设置及其他→设置→开始、主页和新建标签页”中发现Microsoft Edge启动时打开hao123网址导航(修复前隐藏不显示,设置无效,修复后直接暴露),删除页面,选择“打开新建标签页”。重启浏览器,首页为edge的默认首页。
5.把鼠标停留在右下角火绒的图标上,发现hao123短时间内多次试图篡改主页被火绒阻止。
复发2:
几天后,IE、Edge、谷歌三个浏览器同时被劫持,火绒系统修复功能未发现问题。
第三次解决:
1.打开注册表,单点计算机,然后“编辑→查找→输入hao123→查找下一个”,在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage文件夹中发现hao123.com、Total、www.hao123.com三个文件夹,删除DOMStorage及其子项。
2.点“编辑→查找下一个”,发现HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main中Default_Page_URL的值为http://cn.hao123.cn.11818wz.com/?i,改为about:blank。
3.点“编辑→查找下一个”,发现HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN中Default_Page_URL的值为http://cn.hao123.cn.11818wz.com/?i,改为about:blank。
4.点“编辑→查找下一个”,显示注册表搜索完毕,火绒系统修复未发现问题。
5.三个浏览器仍然被劫持。
6.使用火绒的漏洞修复,检测出4个高危漏洞,都是“用于Windows的安全更新程序”,但是修复时全部安装失败。
7.右键谷歌浏览器的快捷方式图标,点击属性→快捷方式,在目标一栏的后面加上“ https://www.baidu.com/”,仍然被hao123劫持。
8.重启电脑,火绒→系统修复,检测出两个问题:可疑的浏览器首页和可疑的浏览器快捷方式。其中第一个是注册表被篡改(之前注册表的hao123清干净了,重启后又有了),HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN的Default_Page_URL、First Home Page、First Home Page均变成了http://cn.hao123.cn.11818wz.com/?i,全部改成about:blank。可疑的浏览器快捷方式就是第七步造成的。
9.然后重复第1步的操作,出现第一、二步的问题,删除DOMStorage文件夹。这次第二步的Default_Page_URL、First Home Page、First Home Page均变成了http://cn.hao123.cn.11818wz.com/?i,全部改成about:blank。注册表搜索完毕。
10.把谷歌浏览器快捷方式的后缀去掉,再使用火绒的系统修复,仍然出现可疑的浏览器首页,指向第八步的地址中的First Home Page,但是经检查,这一项已为about:blank,但还是选择用火绒的系统修复。修复的结果是删除First Home Page这一字符串值。猜测还有其他改动,但是火绒只显示并让我验证了这一项。
11.IE浏览器首页已变成空白页,Edge、谷歌中隐藏的hao123首页已暴露(见第二次解决第四步,Edge浏览器重复这步的操作),谷歌浏览器在“自定义及控制→设置→启动时”修改首页。
12.漏洞修复的补丁还是装不了,但和浏览器没关系。确定“火绒→防护中心→浏览器保护”开启,重启进行最后一次验证。
13.重启后IE、Edge、谷歌、火狐都没有被劫持。火狐自从把360铲除后就没有被攻陷的情况,无360情况下被hao123攻陷记录:火狐共0次,谷歌共1次,Edge共2次,IE共3次。
14.分别在四个浏览器输入http://cn.hao123.cn.11818wz.com/?i,然后关闭,重启电脑,没有网站被劫持,火绒也没有拦截记录,但是注册表内有DOMStorage。此外HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs的url1的值变为http://cn.hao123.cn.11818wz.com/?i,删除DOMStorage、改url1的值并根据https://www.kafan.cn/edu/86158182.html#:~:text=1%E3%80%81%E7%82%B9%E5%87%BB%E3%80%90%E5%BC%80%E5%A7%8B%E3%80%91---%E3%80%90%E6%90%9C%E7%B4%A2%E7%A8%8B%E5%BA%8F%E5%92%8C%E8%BD%AF%E4%BB%B6%E3%80%91%E4%B8%AD%E8%BE%93%E5%85%A5%E2%80%9Cgpedit.msc%E2%80%9D%E6%89%93%E5%BC%80%E7%BB%84%E7%AD%96%E7%95%A5%3B,2%E3%80%81%E5%B1%95%E5%BC%80%E6%89%BE%E5%88%B0%E3%80%90%E7%94%A8%E6%88%B7%E9%85%8D%E7%BD%AE%E3%80%91-%E3%80%90%E7%AE%A1%E7%90%86%E6%A8%A1%E7%89%88%E3%80%91-%E3%80%90%E7%B3%BB%E7%BB%9F%E3%80%91%EF%BC%8C%E5%9C%A8%E5%8F%B3%E8%BE%B9%E5%8F%8C%E5%87%BB%E2%80%9C%E9%98%BB%E6%AD%A2%E8%AE%BF%E9%97%AE%E6%B3%A8%E5%86%8C%E8%A1%A8%E7%BC%96%E8%BE%91%E5%B7%A5%E5%85%B7%E2%80%9D%3B%203%E3%80%81%E6%8A%8A%E5%AE%83%E8%AE%BE%E7%BD%AE%E4%B8%BA%E2%80%9C%E5%90%AF%E7%94%A8%E2%80%9D%E8%BF%99%E6%A0%B7%E5%B0%B1%E5%8F%AF%E4%BB%A5%E4%BA%86%E3%80%82的操作锁定注册表,火绒弹出警告,点击允许。Win+R输入regedit确认注册表已锁定。
复发3:
几天后hao123在锁定注册表、火绒浏览器保护开启的情况下仍劫持了IE、Edge、谷歌浏览器
第四次解决:
1.火绒→系统修复,仅检测出注册表被锁定这一问题,修复后重新扫描,未发现问题。
2.Win+R输入regedit打开注册表,编辑→查找,输入hao123,未搜索到结果,即注册表内没有hao123。
3.三个浏览器仍被劫持,注册表及所有电脑文件的文件名均不包含hao123,在第三次解决第8步中没有发现First page这一项,猜测为隐藏程序,且该程序及其隐蔽,火绒的浏览器防护功能和系统修复功能均无效,全盘查杀后,没有发现病毒。
4.重启后,Edge和谷歌浏览器hao123暴露,但火绒系统修复未发现问题,猜测是浏览器保护功能起作用了。
5.将Edge和谷歌浏览器主页设为默认,重启浏览器确认劫持解除,此时IE浏览器仍被劫持。
6.出现第二次解决第5步的情况,火绒提示4次“System触犯注册表防护规则,已阻止”,提示类型为“系统加固”,也就是说某个程序在浏览器主页劫持解除后,短时间内多次尝试重新劫持浏览器主页。
7.因为提示System触犯注册表防护规则,所以打算对C:\Windows下的System文件夹进行杀毒。因System文件夹为空,占用显示0字节,所以不是System文件夹的问题。所以对的System32和SysWOW64杀毒,也没有发现问题。
8.火绒→菜单→安全设置→系统防护→浏览器保护,将浏览器首页锁定为about:blank,Edge和谷歌浏览器的首页被改为空白页,火狐除了默认页面外,额外出现一个空白页,IE浏览器仍被hao123劫持。
9.关闭主页锁定,Edge浏览器需手动调整回默认页,谷歌、火狐不用调整。
10.本想通过https://jingyan.baidu.com/article/0f5fb099c2c2436d8334ea0d.html卸载IE,但在卸载时发生错误,无法卸载,IE浏览器正常运行且被劫持。
本次问题未能解决。
第五次解决:
1.https://bbs.huorong.cn/thread-18575-1-1.html下载火绒专杀工具,下载后文件名为hrkill-1.0.0.85.exe。
2.打开后弹出错误提示:Windows无法访问指定设备、路径和文件。您可能没有合适的权限访问这个项目。
3.将文件重命名为“火绒专杀工具.exe”后成功打开,点击“开始扫描”,查出3个exe文件,其中两个文件名含“REG”,为顽固病毒列表中的病毒,在C:\Windows\system32文件夹内,这与第四次解决第6步的提示吻合。
4.修复、处理并重启,所有浏览器均解除劫持。
5.经过两周的验证,未再次出现劫持的情况,问题彻底解决。
|
收藏