RT,前几天碰到了台电脑,打开浏览器就劫持访问889hao。
系统是win10 x64,浏览器是360安全浏览器、IE浏览器,其他没装不清楚。
按以往经验,逐一排查:
- 检查浏览器主页设置,设百度为首页。主页已经是百度,但是打开浏览器还是访问889hao,点主页按钮正常访问百度。
- 重置浏览器设置,还是一样。
- 检查了浏览器快捷方式,没有网址尾巴。
- 检查了注册表的主页设置项,正常。
- 检查了代理设置,hosts,本地连接dns设置,都正常。
- 修复了lsp,重置winsock,依旧劫持。
- 用360安全卫士锁定主页,打开浏览器还是访问889hao。
- 卸载,官网重新下载安装360安全浏览器,还是不行。
想起还有命令行参数可以做手脚,打开任务管理器进程列表,右击勾选命令行(或者cmd下wmic,process)。看到浏览器进程的启动参数为889hao的网址。
然后检查了注册表的.exe和exefile项,参数正常。这样看来只可能中毒了。
接着做了些测试:
- 打开浏览器目录,直接双击打开浏览器主程序,依旧劫持。
- 改浏览器主程序名字,打开正常访问首页,没浏览器劫持了。
- 打开cmd,cd到浏览器目录,输入iexplore.exe,打开IE,正常访问首页。同理用任务管理器的新建任务打开,也正常访问首页,没有劫持
根据上面测试,猜测病毒劫持了explorer.exe,用explorer.exe打开浏览器就会被加网址参数运行。
然后尝试复制cmd.exe到浏览器目录,改名为explorer.exe,双击打开,输入iexplore.exe访问,劫持。改回原名,正常。
所以确定有病毒,根据进程名劫持了explorer.exe!
下载Autoruns,Pchunter。
- 检查所有启动项,优先检查了驱动和服务,wmi,正常。
- Pchunter里的驱动、服务、内核、内核钩子、进程钩子等等,每个选项都仔细看一遍了,没发现可疑的。注:当时可能没注意到有两个ACPI.sys,特征之一。
- 查看explorer.exe的加载模块正常,包括cmd.exe改名的也一样。
- 注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services下,没找到可疑项。
- 打开C:\Windows\System32\drivers目录,也看不到异常文件(已显示系统文件和隐藏文件了)。
无解,尝试下载杀毒软件。 - 小红伞、nod32、火绒。扫描了一遍没发现异常。
- 装火绒时,勾选了IE保护,打开IE浏览器也一样劫持。其中火绒剑初始化异常。
- 下载了360急救箱、火绒恶意木马专、Malwarebytes Anti-Rootkit都没查到什么,pe下360急救箱也没查到。
- mbr、bcd也检查过了,正常。
- 下载了卡巴斯基,安装时提示系统被病毒感染无法安装。
后来,看了火绒的安全播报,发现现在很多驱动级隐藏自我保护的病毒。想起还没用Pchunter的注册表编辑器。
- 打开Pchunter,切换到注册表选项卡,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services,一看果然发现了个项目,976e474f5e。一看就很可疑。
- 切换到Pchunter的文件选项卡,查看windows\system32\drivers目录,也发现了976e474f5e文件。
- 但是Pchunter的驱动选项卡里看不到这个驱动!系统的注册表编辑器里也看不到这个!Pchunter内核、内核钩子、进程钩子等等,每个选项卡,每个项都仔细看过了,也看不到这个文件。
于是Pchunter删除976e474f5e注册表项和文件,重启。打开pchunter查看还有这个的注册表项和文件,依旧劫持主页。
可能有自我保护。装了个微pe,在pe里删除了这个文件,重启电脑,恢复正常了,正常访问百度首页。
觉得残留注册表项碍事的话,可以管理员运行cmd,输入sc delete 976e474f5e删除残留项,根据自己电脑上木马驱动名字改。
考虑到别的网友可能遇到这问题,但是文件名可能不一样,或者无法运行pchunter之类的。下面给几个可能有用的判断方法。
首先装个微PE到系统上。
- 重启,方向键下选择微pe工具箱进入,拷贝C:\Windows\System32\drivers到d:\drivers。再重启进入正常系统,用杀软扫描d:\drivers,指不定能检查出什么。
- 进入pe,复制C:\Windows\System32\config下的system到d:\system。重启进入系统,下载Windows Registry Recovery(简称WRR),打开d:\system文件,
Raw Data,展开ControlSet001\services,查看其下所有项目,尤其注意随机数和字母组合的项,而且对应ImagePath文件没有.sys后缀的,很大可能病毒。
也可以直接系统注册表下看,考虑到病毒有不同版本,有的系统下还是能看到注册表项的。
3.用360急救箱强力模式查杀(必须联网云查),下载安装360系统急救盘启动扫描。官网是u盘版,论坛里有直接本机安装的。
感谢网友@微笑@提供的样本。如下,没有.sys后缀,为了方便查看而已:
软件加壳了,又是驱动程序,不好分析。在卡饭发了样本
