有台电脑的浏览器被劫持了,打开就会自动跳转到恶心的搜狗导航。
不光是ie浏览器会跳转搜狗,遨游浏览器也跳转搜狗。
按照通常的修改主页,修改快捷方式后缀的方法,均失败。
再尝试使用adwcleaner,仍然失败,无法解决跳转劫持问题。
然后怀疑会不会是dll动态库级别的劫持?
下载Process Explorer软件分析,果然发现IE
在command line参数行内有ie.75011.net的载入,应该是explorer.exe加载应用程序时被修改了。
我个人能力有限,不懂怎么反汇编查找,最后反复查资料,用了火绒的木马专杀工具,版本是1.0.0.28.
查找后果然发现两个问题:
- c盘system32目录下,“ntoskrnl.exe”程序恶意
- c盘drivers目录下,“juss3310s.sys”驱动程序恶意
整个浏览器劫持的流程应该就是这样了,通过恶意驱动加载,判断是任意一款浏览器,就传入网页参数。
重启win10,进入安全模式(否则无法删掉驱动),删掉以上两个恶意程序,再重启进入系统,问题彻底解决。
就这个问题,前后花费了4个小时来查资料,各种尝试到最后解决,唉,能力太次。