被2345篡改主頁，啟動項、注冊表、快捷方式都查了，WINDOWS清理助手、360都沒法！

網上搜索，發現現在是加載expoler鉤子DLL了，用火絨劍查加載的DLL，排查出來，總算安靜了。

guardapi.dll殺毒軟件還認得到，acfow.dll這個就只有F-port。

chrome 主頁被劫持，每天首次打開chrome都會進入2345的界面，求助解決辦法？https://www.zhihu.com/question/21876153

默認排序?

王金耀

王金耀

好單機游戲，做軟件測試

77 人贊同了該回答

---------2016-3-3更新如下----------

一、建議遇到此問題的大家先用殺毒軟件掃描C盤，不要使用半吊子的360、電腦管家和我以前有提到的火絨，也不要使用國內流氓的殺毒軟件如瑞星、毒霸等，建議用卡巴斯基等收費殺毒軟件（可以試用的）。

原因在于：

1.我的電腦之前通過如下方法解決了首頁被劫持問題后，沒有殺毒，今天殺毒殺到兩個木馬。

2.劫持首頁已經是黑產的一部分了，因為有利可圖所以有無數人變著法地劫持，道高一尺魔高一丈，已經出現專為劫持首頁的病毒，我們不知道除了這個表面的劫持動作外是否還有后臺的其他動作。

二、如果一定要自己動手，建議不要用半吊子的方法來查殺，直接看這個解答為什么 Chrome 瀏覽器的主頁會被篡改為 hao123 ？遇到這種情況需要如何進行修復？ - dll 其他方法包括我的方法基本都是治標不治本的，而且大家的現象都不太一樣。另外這個回答里提到的工具大部分是微軟官方可以找到的。

---------2015-5-5更新如下----------

更新利用自啟動劫持的情況，現象有：

1.瀏覽器被自動添加到快速啟動欄（或桌面）并被修改主頁，刪除快速啟動欄圖標重啟電腦后無效。

2.瀏覽器只在第一次啟動時打開特定頁面，其余時候表現正常。

原因是：劫持者使用系統任務計劃或者自啟動程序，在開機或其他特定時間啟動劫持程序（一般是批處理，也可能是注冊一個服務來完成劫持）。劫持程序可能會在運行后刪除自身以防止被發現，也可能運行后生成另一個劫持程序進行劫持操作防止被發現（我都遇到了 ）。

解決辦法：1.運行msconfig，找到系統自啟動項，禁用陌生的自啟動項。都陌生的，請禁用全部自啟動項，如果解決了再一次解禁一部分自啟動項來定位有問題的自啟動項。

2.運行taskschd.msc打開任務計劃程序，定位問題方法同上。

3.如果是被注冊成系統服務的，請用殺毒軟件查殺，自己如果查錯了可能會造成很麻煩的后果。想自己動手的注意查看服務項名稱重復的和服務項介紹很少的，劫持首頁的服務項會偽裝成系統原生服務。

4.如果有一個好工具，請直接監視系統目錄全部改動，直接定位到劫持程序的位置刪除之。

---------原答案如下----------

剛剛解決了這個問題，多謝

@空月

提供的鏈接，多謝大神

@想了好久

在另一個問題里提供的答案，問題是 chrome 主頁被篡改為hao123？技術宅帶你層層深入破之 - dll 。這里已經講得很清楚了，我只是按照這里的原理提供一個大家看得懂的解決方案。

解決的問題是：Chrome IE Firefox或者其它瀏覽器首頁被篡改且無法通過修改主頁的方式修改回來。

解決步驟：

有一部分人只是桌面的快捷方式被篡改，請右鍵桌面上的快捷方式查找到文件的安裝目錄，嘗試從安裝目錄雙擊啟動瀏覽器，如果首頁正常說明是快捷方式的問題，刪掉快捷方式重新生成一個快捷方式到桌面就解決了。

如果上述未解決，請嘗試從任務管理器里面運行瀏覽器程序，如果首頁仍然被修改說明瀏覽器程序有問題，建議重新安裝。

如果用任務管理器運行后首頁就恢復正常了，說明問題很可能跟explorer進程有關，那么先看C:\Windows下面的explorer.exe程序有無異常，比如修改日期是否異常，有問題的話建議找相同系統的電腦上拷貝一個explorer.exe文件，或者直接重裝系統。

如果explorer.exe也無問題，那么看進程鉤子有無異常，一般是DLL文件出問題，不用會看代碼什么的，我是用火絨軟件里面的“火絨劍”功能查看的，用鉤子掃描掃描explorer.exe進程，我在目標位置這一欄會有一條指向2345.lc文件的，按著這個路徑在電腦找到這個文件并刪除即可。

如果以上都未解決，那么看有沒有奇怪的自啟動項，或者是奇怪的進程，禁用或關閉后試試。

知乎用戶

24 人贊同了該回答

前幾天剛中了一招，立刻修改了Chrome主頁設置和注冊表，但直到今天才得以真正解決。打開桌面上的Chrome快捷方式沒有問題，但是工具欄的快捷方式反復解鎖、鎖定，打開都是2345網址導航流氓主頁。最后的解決方法是：1.搜索“quick launch”關鍵字，找到修改時間最新的文件夾，進去發現正常快捷方式被隱藏，鳩占鵲巢的是修改過的lnk。不用說，直接刪掉惡意文件，恢復舊主。2.開始菜單記憶的常用lnk也被惡意修改。想改回來，發現沒有權限，懶得再弄，直接刪掉。3.重新搜索chrome.lnk，發現反復解鎖、鎖定時留下不少余孽，刪掉。4，修改hosts和防火墻設置，永絕后患。

歸納起來，2345的流氓技術主要有如下一些：

1.修改注冊表、lnk文件，這個眾人應該都比較熟悉了，仔細清理無遺漏即可；

2.WMI列表駐留，算是高級手段，但被討論的次數不少了，無需多說；

3.修改Chrome擴展中的js腳本，注入惡意內容；中招者有必要注意"Users\用戶名\AppData\Local\Google\Chrome\User Data\Default\Extensions"文件夾，里面都是擴展，每個擴展文件夾內（包括子文件夾）的所有background.js文件都要仔細檢查，被注入了惡意代碼的擴展最好重裝。

有微軟的工程師說過，2345的手段比較隱蔽，只有在Win操作系統安全機制有明顯改進的情況下才可能真正受到抑制。所以我覺得，多借助系統的權限控制、安全軟件的不受歡迎程序檢測功能、HIPS軟件等強力手段，才能真正打死這只過街老鼠。

==========================================================================

人蠢是沒有辦法治的。昨天晚上下載一本電子書，NOD32沒有任何反應的情況下，桌面突然多出了一個"淘寶網.exe"，系統托盤出現“2345在線安裝工具”的提示，于是明白竟然又掉坑里了，所以還是有必要補充一點。

這一次，打開chrome瀏覽器，主頁被篡改成了“http://www.2345.com/?26510”。查看瀏覽器設置、注冊表和快捷方式，無任何問題；background.js腳本和WMI也無任何異常。于是就傻眼了。

在

@王金耀

朋友回答的啟發下，將chrome.exe重命名為1.exe，打開后主頁是自己設置的baidu，于是判斷，這次問題也可能出在隱藏的病毒文件上。使用Process Explorer對chrome.exe進行查看，發現這些流氓網站還是喜歡互相借鑒的：

對于Win10 64位系統，Ollydbg的運行似乎有些問題，于是指望不上它來尋找兇手了。那么，如何

才能看穿流氓所做的一切呢？在線程序行為分析是個好東西，借助于金山火眼，對昨天下載的“exe電子書”進行檢測，答主發現該程序在系統內創建了一堆文件：

經過系統內的搜索，答主發現系統目錄下的其它文件要么已經不存在，要么并不是由該程序創建，內容也無可疑之處（那幾個inf文件），只余那個MsImedia.sys驅動程序；至于臨時文件，答主直接Ctrl+A，Shift+Del，一概清理。

找到這個MsImedia.sys之后，首先賦于admin用戶組完全控制的權限，然后刪除，提示正被被system使用；于是，借助于Autoruns這款工具，在“驅動”選項卡找到該項目，右鍵刪除；重啟后，主頁恢復正常。刪掉這個惡魔的本體之前，再看看其丑陋的面目吧：

偽裝的很像是系統文件？我是Win10系統，怎么會有你Win7的自帶驅動？另外，創建時間是很難改的。

以上才是這個程序的主子，祝你們早日倒閉。

119 個回答

默認排序?

想了好久

想了好久

想了好久還沒想好

1,007 人贊同了該回答

前幾天，突然發現默認瀏覽器的Chrome的主頁被篡改為了hao123。每次第一次打開，都自動跳轉到http://www.hao123.com/?tn=29065018_59_hao_pg這個網址。自己到網上搜了一下，試了各種方法最終還是無果，本著屌絲懂技術，神都難不住的精神決定自己破掉它。(*^__^*) 嘻嘻……

<一> 縮小包圍圈

1、chrome設置？

對chrome中的啟動時、外觀屬性都進行了修改，仍然沒有解決問題。

2、快捷方式中添加了參數？

發現不管是從桌面快捷方式還是直接點擊exe文件，chrome主頁都被篡改。這就排除了是在桌面快捷方式中的目標欄中添加了hao123網址的緣故。哎，查看一下桌面chrome快捷方式不就得了，整的這麼麻煩。囧。

3、chrome.exe被篡改或者chrome配置文件被修改?

將chrome的配置文件和可執行文件一同拷貝到虛擬機中，擦，在虛擬機中就沒問題。說明問題不在chrome身上。

那會是什么問題呢？山重水復疑無路，柳暗花明又一村。轉折來了，將chrome.exe重新命名后，再打開瀏覽器，主頁就是設置的www.google.com.hk，這樣就沒問題了。測試一下，將firxfox.exe重命名位chrome.exe后，主頁也被篡改位流氓導航頁。看來chrome.exe是個關鍵詞啊！一個解決方案就這樣誕生了，太easy了吧。但是這里面到底隱藏著什么奧秘呢？繼續整！

<二>我要看代碼

1．? 先上第一個利刃，microsoft旗下的Process Explorer。

查看chrome.exe的主進程信息如下，亮點就在下圖中。

小伙伴們一定看到了Command line下面的編輯框里有我們久違的流氓url吧。這個Comand

line是什么東東？

? ? ? Windows下常見的創建進程的api就是CreateProcess，這個函數申明如下。

其中的第二個參數，就是Command line，在我們這里就是chrome.exe應用程序的參數。該api的詳細介紹在http://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx。

現在的問題就是這個command line是誰傳遞給chrome.exe進程的？弄清楚這個問題之前，先要搞清楚，windows下，雙擊或者右鍵打開應用程序時，該應用程序進程是誰創建的？查閱資料發現，通過雙擊或者右鍵打開的應用程序進程都是由explorer.exe這個進程調用CreateProcess創建的。那么，我們的流氓url Command line 就一定是explorer.exe傳遞給chrome.exe。看來explorer.exe有問題了。測試一下，通過任務管理器中的創建新任務的方式啟動chrome就沒有流氓導航了。但是通過和虛擬機中的explorer.exe文件對比，發現主機和虛擬機中的兩個文件完全相同。Exe運行時不光要加載自身的.exe程序文件，還要依賴一些動態庫dll。是不是dll有問題。利刃2上場。

2、ollydbg閃亮上場。

用od加載explorer.exe運行，查看所依賴的dll。

看到有幾個可疑的非系統dll，QvodExtend.dll,

QvodWebBase.dll,按理說explorer.exe是不會依賴非系統dll的。想起來，網上說的卸載Qvod可以解決問題。這個怎么能說卸就卸呢？萬萬不可以的。

問題肯定是在調用CreateProcess之前出現的，在當前模塊中查找調用CreateProcess的地方，一共有四個點，全部設置斷點，然后調試explorer.exe進程？當然時調試失敗了。~~~~（>_<）~~~~

但是重新加載explorer.exe運行，然后查看kernel32.dll的CreateProcess的代碼發現了重要的問題。

下圖就是kernel32.dll中的CreateProcess代碼，尼瑪不是說好了的CreateProcess將調用CreateProcessInternalW嗎？這兒怎么上來直接 jmp? ? QvodWebB.10008B90？QvodWebB你要鬧啥啊！！！

看看下面這個正版的CreateProcess吧。

至此，整個流程大致出來了。QvodWebBase.dll將kernel32.dll的CreateProcessW代碼的前5個字節改為了一條jmp指令，改變了CreateProcess的正常執行流程。實際上，CreateProcessA,CreateInternProcessW,CreateInternProcessA都被注入了相應的跳轉指令。

<三>深入巢穴

QvodWeb如何隨explorer.exe加載，QvodExtend.dll, QvodWebBase.dll到底都做了些什么？先mark，后面接著整。

1.先看看QvodExtend.dll, QvodWebBase.dll都導出了些什么函數。

下面是QvodWebBase.dll導出的函數。可以看到有InstallWindowsHook鉤子函數。

同時，用IceSword掃描時發現，QvodExtend.dll還是個BHO。

同時，測試發現如果將QvodExtend.dll重命名后，就不會出現主頁被篡改，同時explorer.exe也不會有QvodExtend.dll和QvodWebBase.dll模塊。由此可以推斷，QvodExtend.dll隨explorer.exe或者ieplorer.exe啟動時，會向系統注冊QvodWebBase.dll中的鉤子函數，接著再是加載QvodWebBase.dll時，該dll的DLLMain入口函數會向當前進程注入Jmp指令。

反匯編QvodExtend.dll代碼可以發現，注冊QvodWebBase.dll中的鉤子函數的代碼

至此，整個過程告一段落。

解決辦法就是刪除或者重命名QvodExtend.dll和QvodWebBase.dll。不知道會不會影響qvod,目前不得而知。

----------------------------------------------分割線------------------------------------------------------------------------------

QvodExtend.dll在其dll_main函數中，判斷當前的模塊是explorer.exe或者iexplore.exe，若兩者都不是則退出；否則讀取qvod安裝目錄下的QvodCfg.ini文件獲取

QvodWebBase的版本號，找到 QvodWebBase.dll后調用LoadLibrary加載該模塊(加載過程中會向CreteProcessA/W中注入代碼，這個代碼就是在CreateProcessInteralA調用之前修改comand line參數)，接著調用GetProcAddress獲得

QvodWebBase安裝鉤子的導出函數installwindowshook，并執行該函數，該鉤子的類型是WM_CBT。整體流程就是這樣。

----------------------------------------------分割線------------------------------------------------------------------------------

該實驗的軟件版本是QvodPlayer5.17.152.0，目前在最新版本中該問題已經解決。

Jim Liu

Jim Liu

JavaScript 話題的優秀回答者

70 人贊同了該回答

這是一種（我見過）比較新的劫持瀏覽器首頁的方式了。它在explorer.exe上注冊了一個鉤子，然后劫持了主流瀏覽器的.exe文件名，當啟動這些瀏覽器的exe的時候就自動帶一個參數——通常瀏覽器的主程序都支持通過參數直接打開某個頁面。

于是會發現瀏覽器設置里面并沒有修改主頁，但是還是被劫持了。

而且它其實很智障，把瀏覽器的exe改個名字就不會被它勾住了。

是不是這種劫持方式有一個很簡單的判斷方法，通過一個任務管理器（如果系統自帶的不行，那就用ProcessExplorer.exe），找到chrome.exe主進程（ProcessExplorer.exe可以按樹狀方式查看進程，很容易找到主程序是哪個進程），可以右鍵查看它的啟動參數，如果后面跟了流氓網站，那就是這種劫持方式了。

遇到過2次了，第一次稀里糊涂的解決了，第二次找到了解決路徑。

大概就是用了一個工具（好像是火絨xxxxx吧），查看了explorer.exe被哪些dll注冊了鉤子，然后一眼就看出來其中一個是某惡意軟件的，把那個dll找到以后刪掉就行了，順便還可以通過dll的路徑和文件名判斷一下是哪家的軟件搞的鬼。我兩次都是迅雷，口亨。

【原創】2016年新型瀏覽器劫持病毒——“百變導航”病毒！https://bbs.kafan.cn/thread-2041256-1-1.html

　　近日，互聯網上又掀起了一陣新型的瀏覽器劫持事件。同其它劫持瀏覽器的病毒一樣，該病毒也會惡意篡改中毒電腦的瀏覽器首頁。但是與其它同類病毒不同的是，該病毒并不是在IE屬性中篡改瀏覽器主頁，而是當受害者打開瀏覽器時直接重啟進程將瀏覽器首頁跳轉至病毒預設的導航網站，且導航網站多變不固定。由于該病毒是驅動級兼注入型病毒，所以殺毒軟件查不到任何危險程序以及可疑啟動項目。

病毒名稱：“百變導航”病毒；

病毒類型：惡意推廣程序；

危害等級：★★★

危害平臺：Windows 系統；

首發日期：2016年4月；

病毒傳播：

　　“百變導航”病毒主要通過“病毒下載器”或“網站掛馬”進行傳播，對長期未更新殺毒軟件的電腦感染幾率更大。該病毒入侵受害者計算機后，首先會在“C:\WINDOWS\system32”目錄下創建一個名為“MsslnthalEs.dll”的病毒動態鏈接庫，并在注冊表中為其創建隨機啟動的隱藏服務項。然后會在“C:\WINDOWS\AppPatch”目錄下創建一個以“Ke”開頭后序文件名為6位隨機數字組成的“.xsl”文件，并在注冊表中為其設置數值數據。最后會在“C:\WINDOWS\system32\drivers”目錄下創建一個名為“dump_slnthal.sys”的驅動程序，并在注冊表中為其創建隨機啟動的隱藏服務項。

病毒分析：

　　“MsslnthalEs.dll”是“百變導航”病毒的主程序，主要功能用于劫持受害者瀏覽器主頁，并擁有自我修復功能。以“Ke”開頭后序6位隨機數字命名的樣式表文件其實是“百變導航”的病毒安裝包數據庫，不過該病毒的真正安裝資源是以二進制代碼儲存在注冊表中的。“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure”的分支下包含了該病毒的所有數據資源，如果將子項“Secure”全部導出為“.reg”文件，則導出后的注冊表腳本文件大小為“8.70 MB”！當中毒電腦啟動后，“MsslnthalEs.dll”就會讀取該注冊表中的數值數據對病毒二進制代碼進行解析，然后將解析成功后的數據以“Ke”開頭后序6位隨機數字的命名方式保存在“C:\WINDOWS\AppPatch”目錄下，最后對其解壓重裝病毒。因此，該目錄下以“Ke”開頭的樣式表文件在每次隨機啟動后都會被重新命名和重新創建。由于該文件和“MsslnthalEs.dll”是相互作用的，所以如果該文件丟失，“百變導航”病毒也將無法修復自身。“dump_slnthal.sys”是“百變導航”病毒的驅動級自我保護程序，主要功能用于隱藏自身程序和加密自身程序。而且“dump_slnthal.sys”是一個持有數字證書的病毒驅動程序，導致眾多殺毒軟件監測到其非法行為后也會對其放行通過，可見“百變導航”病毒在隱身和防補丁以及免殺方面下了很大功夫。本次病毒驅動程序“dump_slnthal.sys”使用的是“西安信利軟件科技有限公司”的數字證書。

病毒行為：

　　“MsslnthalEs.dll”隨“svchost.exe”啟動后會在“C:\WINDOWS\AppPatch”目錄下創建一個名為“AcRamIe.sdb”的空間數據庫文件，然后復寫該文件中的數據向系統進程“explorer.exe”注入病毒代碼，之后會在“C:\WINDOWS\AppPatch”目錄下創建一個名為“Custom”的病毒文件夾，最后卸載自身模塊。病毒文件夾“Custom”是“百變導航”病毒的數據庫，其目錄下的所有文件均為病毒劫持瀏覽器主頁的配置文件。如果該文件夾丟失，病毒劫持受害者瀏覽器后將無法跳轉至指定域名。“dump_slnthal.sys”隨系統內核運行后會隱藏自身文件和病毒主體程序“MsslnthalEs.dll”，并為其進程加密，使一般殺毒軟件無法讀取其內存數據。“dump_slnthal.sys”的監視范圍是全盤位置，如果其它目錄下出現與兩者同名的文件和文件夾也會被“dump_slnthal.sys”隱藏和加密。被注入病毒代碼后的系統進程“explorer.exe”理所當然就成了“百變導航”病毒的傀儡進程，從而導致其自身功能也受到了一些影響。比如在中毒過程中經常會伴隨著出現一些桌面自動刷新、程序自動運行、文件夾自動打開、文件夾自動關閉、按鍵時自動彈出刪除文件和文件夾提示等一系列的界面操作異常化問題，就好像感覺被抓肉雞一樣（如果電腦中缺失“explorer.exe”，“百變導航”病毒劫持瀏覽器主頁的能力也會喪失）。隨后，包含病毒代碼的“explorer.exe”便會時時刻刻監視受害者訪問網絡的情況。如果監測到受害者打開任何一款瀏覽器，病毒代碼就會控制“explorer.exe”強行關閉當前瀏覽器窗口，然后讀取“C:\WINDOWS\AppPatch\Custom”目錄下的病毒配置文件，并啟動系統默認瀏覽器將域名連接到“http://www.975186.ren/”，最后再由該域名跳轉至病毒服務器預設的導航網站。由于劫持受害者瀏覽器的導航網站是跟隨病毒服務器的域名設置變化而變化的，所以這個域名可能會成為任何一個導航網站的轉接站。因此，該域名受到病毒服務器的隨時設置和調動，也就造成了劫持受害者瀏覽器的導航網站也各不一樣。到目前為止，被病毒域名轉接過的導航網站有“360導航”、“hao123導航”、“MSN123導航”、“2345網址導航”等等……故而該病毒稱之為“百變導航”病毒。目前（2016年5月）該病毒域名指向的流氓導航網站是“http://www.2345.com/?24384-2284”。

病毒清理：

　　由于在內存中被注入病毒代碼的“explorer.exe”并沒有被插入病毒模塊，所以在“任務管理器”中結束“explorer.exe”后再重啟該進程即可恢復瀏覽器的正常使用（此步可免）。

1：重啟電腦按“F8”鍵進入“安全模式”。

2：刪除如下病毒程序。

C:\WINDOWS\AppPatch\Custom

C:\WINDOWS\AppPatch\AcRamIe.sdb

C:\WINDOWS\AppPatch\Ke******.xsl

C:\WINDOWS\system32\MsslnthalEs.dll

C:\WINDOWS\system32\drivers\dump_slnthal.sys

3：刪除如下病毒注冊表項值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSLNTHALES

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsslnthalEs

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSSLNTHALES

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsslnthalEs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSLNTHALES

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsslnthalEs

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DUMP_SLNTHAL

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dump_slnthal

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DUMP_SLNTHAL

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dump_slnthal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DUMP_SLNTHAL

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dump_slnthal

　　“百變導航”病毒的變種比較多，感染受害者電腦后釋放的病毒程序可能會多種多樣，但這類病毒的危害程度和解決方案大致都是一樣的。本文只是解析了一個變種的破壞行為和查殺方法，如果遇到其它變種建議使用殺毒軟件更新最新病毒庫后再進行查殺！