相同的问题重复出现过很多遍,但是2345似乎一直在升级作恶手段。
首先说明,这次遇到的问题经过大量检索并没有找到先例。
为了有价值的讨论,这里应当将目前的检索结果汇总:
[1] 【原创】2345最新劫持方式的解决方案 http://tieba.baidu.com/p/3531973909 - background.js内并没有出现可疑的网址
[2] chrome 主页被劫持,每天首次打开chrome都会进入2345的界面,求助解决办法? https://www.zhihu.com/question/21876153
[3] 为什么 Chrome 浏览器的主页会被篡改为 hao123 ?遇到这种情况需要如何进行修复? https://www.zhihu.com/question/21883209
[4] chrome浏览器默认启动时打开2345导航的解决方法 http://blog.csdn.net/kobesdu/article/details/38685803
[5] 记录一次浏览器主页被劫持为3456的解除过程! http://www.hackdig.com/09/hack-26258.htm
仔细观察发现启动浏览器时并不是直接进入2345.com,而是经过http://www.timeshr.net跳转到2345.com。而在IE和Firefox中则是经过http://www.greenarchit.com跳转。
最终的解决方法是用WinHex直接打开C盘,对全盘字符串检索timeshr.net。其首次出现的扇区(之所以只看首次,是因为这个问题从电脑刚装机时就有,应该是混在镜像里了,写入到ntfs分区最前面的部分)对应到可疑文件C:\Windows\lok.txt。里面用json记录了一堆浏览器和对应的跳转网址。删掉,重启,搞定。
虽然主页劫持的问题到此为止了,但有一点不太满意的是,并没有找到读取这个文件的服务或者木马之类的。所以硬盘里某个地方还留着点不干净的东西,不知道有没有后患。
Windows就是屁事多……
首先说明,这次遇到的问题经过大量检索并没有找到先例。
为了有价值的讨论,这里应当将目前的检索结果汇总:
[1] 【原创】2345最新劫持方式的解决方案 http://tieba.baidu.com/p/3531973909 - background.js内并没有出现可疑的网址
[2] chrome 主页被劫持,每天首次打开chrome都会进入2345的界面,求助解决办法? https://www.zhihu.com/question/21876153
[3] 为什么 Chrome 浏览器的主页会被篡改为 hao123 ?遇到这种情况需要如何进行修复? https://www.zhihu.com/question/21883209
[4] chrome浏览器默认启动时打开2345导航的解决方法 http://blog.csdn.net/kobesdu/article/details/38685803
[5] 记录一次浏览器主页被劫持为3456的解除过程! http://www.hackdig.com/09/hack-26258.htm
仔细观察发现启动浏览器时并不是直接进入2345.com,而是经过http://www.timeshr.net跳转到2345.com。而在IE和Firefox中则是经过http://www.greenarchit.com跳转。
最终的解决方法是用WinHex直接打开C盘,对全盘字符串检索timeshr.net。其首次出现的扇区(之所以只看首次,是因为这个问题从电脑刚装机时就有,应该是混在镜像里了,写入到ntfs分区最前面的部分)对应到可疑文件C:\Windows\lok.txt。里面用json记录了一堆浏览器和对应的跳转网址。删掉,重启,搞定。
虽然主页劫持的问题到此为止了,但有一点不太满意的是,并没有找到读取这个文件的服务或者木马之类的。所以硬盘里某个地方还留着点不干净的东西,不知道有没有后患。
Windows就是屁事多……
