恰逢十一假期用朋友的电脑写博客,但是一打开chrome浏览器就先弹出http://ljd1.gndh666.top/,然后再跳转到hao123.com。hao123真的是太“良心”了,让人感动至极。吐槽归吐槽,还是得解决不是。整了一上午,终于解决了,来给大家分享一下解决的过程吧。
首先对桌面的chrome快捷方式点击右键,选择属性可得下图,发现末尾并没有包含非法URL地址:
然后再在chrome浏览器中输入chrome://version/,发现命令行为"C:\Users\admin\AppData\Local\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --origin-trial-disabled-features=MeasureMemory http://ljd1.gndh666.top 。尝试将谷歌浏览器中的目标修改为"C:\Users\admin\AppData\Local\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --origin-trial-disabled-features=MeasureMemory https://www.baidu.com/,修改之后依然无法work。
当时有预感就是所有的浏览器可能都被感染了,打开IE浏览器后果然验证了自己的想法。然后根据网上的攻略,下载了WMI Event Viewer(下载地址为http://www.microsoft.com/en-us/download/details.aspx?id=24045),然后来查看电脑是否被定时运行脚本给感染了。
打开软件后,点击下列图标:
在Connect to namespace框中填入“root\CIMV2”,但是结果却为空的,如下图所示:
网上说的有定时运行脚本的截图如下所示:
排除掉定时任务以后,然后就使用了腾讯的电脑管家进行了全盘的病毒扫描和主页锁定后,依然不起作用。再经过搜索引擎的搜索和之前的经验,决定使用火绒的专杀工具来小试牛刀。
专杀工具需要单独进行下载,然后重命名后使用管理员权限运行。结果扫描出了包含MLXG(麻辣香锅)的几个木马(当时忘截图了)。搜索了一下MLXG,得到一个比较好的链接,其中部分文字如下所示:
-
中國所謂的「激活工具」,可以稱為啟動工具,也就是讓一些本來需要序號、註冊的付費軟體,透過這些激活工具來啟動,變成已付費的軟體。而在中國也會有一些專門的網站,蒐集了大量的這些「激活工具」,因此自然有大量的網友會前去下載工具。
-
不過,根據「火絨」的工程師發現,從這些網站下載的,包括「暴風激活」、「KMS」、「小馬激活」等工具,裡頭都夾帶了一款名為「麻辣香鍋」的首頁鎖定病毒,病毒感染使用者電腦後會將首頁劫持為「http://**?.****111.top」(「?」為任意數字,如下圖)。
具体可参考链接:https://www.techbang.com/posts/78633-activation-tool-spreads-lock-virus-spicy-pot-to-induce-users-to-quit-security-software
所以可以推测得到是在使用系统或者Office激活软件中被感染了。希望大家遇到相同的问题也能够顺利解决。