V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
abbatuu
V2EX  ›  问与答

中飙了~ 2345.com 劫持浏览器

  •  
  •   abbatuu · 2015-01-15 16:55:10 +08:00 · 5811 次点击
    这是一个创建于 3603 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看了一下 也不是大家说的exe后面加参数,注册表也没撒问题 用各种管家 杀毒都没用~ 还没搞好
    不知道有遇到同样问题的兄弟解决没?分享一下~谢谢

    26 条回复    2015-01-16 13:19:44 +08:00
    ipconfiger
        1
    ipconfiger  
       2015-01-15 16:55:52 +08:00
    解决方法就是换Mac机
    xfspace
        2
    xfspace  
       2015-01-15 16:59:19 +08:00
    换换换
    BlueFly
        3
    BlueFly  
       2015-01-15 17:03:06 +08:00
    @ipconfiger 二选一,假如你同时发现mac/win的漏洞或错误,可以编写病毒利用它并能在短时间内获利,时间紧,你只能选择一个?你会利用那一个?

    @abbatuu 并不复杂,要么图标被替换,或者在木马进程遍历注册表项,你修正一次,再给你恢复一次
    kiritoalex
        4
    kiritoalex  
       2015-01-15 17:04:40 +08:00 via iPhone
    是我就直接上Xuetr了……
    CoX
        5
    CoX  
       2015-01-15 17:09:22 +08:00   ❤️ 1
    遇到的是job391劫持的,或许能给lz提供一些帮助
    http://blog.z-cn.com/archives/12/
    abbatuu
        6
    abbatuu  
    OP
       2015-01-15 17:56:29 +08:00
    @CoX tks~ 下班了,没仔细看进程 Rundll32.exe貌似比较多 明天仔细看一下
    @BlueFly windows用的比较少,基本都是Fedora裸奔,没有风险意识~
    negation
        7
    negation  
       2015-01-15 18:27:55 +08:00 via Android
    @BlueFly 不一定有单独的进程,加载个驱动注入也是可以的
    ixiaohei
        8
    ixiaohei  
       2015-01-15 18:30:17 +08:00
    上次就碰到360弄这种事,各种杀毒,查主页都没有,但是就是一开浏览器,就到了360的主页。最后查,发现所有的浏览器快捷方式都给360加参数........................,我只能说脏话了
    Biwood
        9
    Biwood  
       2015-01-15 18:32:15 +08:00
    这货比病毒还顽固,我之前用的公司一台thinkpad,主页莫名其妙就是2345,网上搜各种办法,用各种杀毒软件、卫士,最终还是没解决。
    learnshare
        10
    learnshare  
       2015-01-15 18:39:31 +08:00
    2345 也是个神奇的公司,家里经常满桌面都是,我爸说不知道
    Valkyrie
        11
    Valkyrie  
       2015-01-15 18:43:55 +08:00
    我是把桌面的快捷方式删了,再从安装目录里找到启动文件重新建立快捷方式解决的。小白方法,不知道能不能帮到。
    dan994
        12
    dan994  
       2015-01-15 18:45:59 +08:00
    到过某加工厂,公司里上上下下电脑全是 2345 的东西,看图,解压,浏览器。。
    不知道网管是怎么当的,估计是直接 ghost 系统自带了。。
    RHFS
        13
    RHFS  
       2015-01-15 19:31:22 +08:00 via iPhone
    想起一个笑话 下个QQ 企鹅一家就自动进来了
    Layne
        14
    Layne  
       2015-01-15 19:37:40 +08:00
    @dan994 说不定人家网管觉得这公司软件不错,装一个一套都有了好方便。。
    celeron370
        15
    celeron370  
       2015-01-15 20:14:06 +08:00
    任务管理器里找httpd.exe,我遇到的情况是,主页设定成了看似人畜无害的http://localhost,但是本机被2345装了个apache,本机index.php直接跳转2345,喔槽。
    hanqian
        16
    hanqian  
       2015-01-15 20:21:43 +08:00
    2345装机推广是能拿钱的,而且它大张旗鼓的做过广告,所以会有人用各种流氓手段传播它。。
    greatdk
        17
    greatdk  
       2015-01-15 20:45:29 +08:00
    @celeron370 这么丧心病狂?!
    lwjef
        18
    lwjef  
       2015-01-15 20:47:21 +08:00
    上2345网站发帖投诉
    aiwha
        19
    aiwha  
       2015-01-15 20:52:19 +08:00 via Android
    唉,好多国产程序员的才智都用在流氓软件开发上了,可悲啊。。。。
    wy198656
        20
    wy198656  
       2015-01-15 21:13:27 +08:00
    2345这种流氓居然能存活真是另人费解~
    bobopu
        21
    bobopu  
       2015-01-15 22:11:46 +08:00
    楼主,你的头像里面是什么??
    abbatuu
        22
    abbatuu  
    OP
       2015-01-15 22:16:53 +08:00
    @bobopu 一个汽车广告而已 路虎
    bobopu
        23
    bobopu  
       2015-01-15 22:21:08 +08:00
    @abbatuu 看起来让人头皮发麻,好像是很多多足的虫子。。
    abbatuu
        24
    abbatuu  
    OP
       2015-01-16 10:22:06 +08:00
    总算解决了~
    不深入了解 真tm觉得这个世界很美好~仔细看一下 尼玛各种陷阱 看来还是回linux安全点

    大致说一下处理结果

    1. 修改dns
    2. 查看可疑进程,尽可能关闭正常进程
    3. 注册表排查
    4. WMI排查
    5. bat vbs ini txt各种配置文件排查

    发现c:\Users\MyUserName\AppData\Roaming下面有很多看上去不太正常的文件夹


    >
    update_1231.exe=1420148229
    Browser_V4.0.3214.0_r_4332_(Build14122211)_1419958802.exe=1420161108
    hkyl_yls_hk2014_201lm.exe=1420161121
    install1557915.exe=1420161125
    jKAVSETUPS_60_307927.exe=1420161149
    ksimekusu_zhim_012.exe=1420161155
    setup_13b4.exe=1420161169
    zhezi_setup_ZFBE.exe=1420161178
    setup_90_34533.exe=1420176913
    [config]
    land=1420148229
    last=lnk=1;44=1;img=1;ins=1;mh=1;

    类似这种,期间还看到36x sox x狗 x度的安装文件和部署文件,事实上根本就不是我下载的 就算下载也不会下载在这种目录

    清理干净后,重启之前在打开浏览器还是没有改变 于是考虑加载驱动注入.重新开始dll排查.

    google得到 http://dicky-programmingjoy.blogspot.mx 的经历:

    > It is definitely something related to the issue that I am facing. In fact, looking at all these weird naming .exe, it seems very suspicious the computer is infected with malwares. Not sure how this configuration file is access, but it is likely being use when the input keyboard is initialized. So removed the Chinese input.

    尼玛 速度删除感染的dll 重启~ 世界清静
    jianghu52
        25
    jianghu52  
       2015-01-16 10:35:49 +08:00
    求教,到底删了哪些dll。我家邻居也中了这个,很牛的,我新下一个360浏览器,上来的初始页也是它。
    abbatuu
        26
    abbatuu  
    OP
       2015-01-16 13:19:44 +08:00
    @jianghu52 看了网上的各种情况都不一样,和来源有关系 我是宁杀1000不放1个 正常的软件 不能用了大不了在安装嘛~
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5506 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 08:03 · PVG 16:03 · LAX 00:03 · JFK 03:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.