步骤:
- 用everything搜“2345”,把可疑的文件删掉,诸如2345explorer开头的文件。
(这个是删完没问题后的) - 选中浏览器 右键chrome/firefox等 → 属性 → 目标 :把.exe后面的后缀的可疑主页删掉。(该方法治标不治本但可以清一下)
(往后拉,有可疑的主页) - 打开浏览器chrome/firefox等的文件所在位置,返回桌面,删除桌面chrome/firefox等快捷方式图标,在文件所在位置重新发送桌面快捷方式。(该方法治标不治本但可以清一下)
- 按
Win+R
,输入regedit
然后按下Enter回车键。
依次定位到:
HKEY_CURRENT_USER\Software\Policies\Microsoft
展开Microsoft,查看其下是否包含子项 Internet Explorer 若有,删除(右击Internet Explorer,选择“删除”)。
然后再依次定位到以下3个注册表项。单击Main,查看右边细节窗口中[Default_Page_URL]
值和[Start Page]
值是否有异常。如果被修改了,请根据自己的需要改回(右击键值,选择“修改”进行更改)。[Default_Page_URL]
设置成你想要的主页;[Start Page]
可以设置为about:blank
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
小提示:在上面箭头处可以复制路径过去,不需要在旁边文件夹一个个展开寻找
继续搜索注册表,检查注册表所有选项里有没有2345这个文件加,只要点开每个HKEY_XXXX文件加,然后按键盘2,能快速查找到,把所有含2345这个文件删除。
- 在windows搜索里搜索
计划任务
,点击左侧任务计划程序库
,查看可疑程序建的任务。比如发现有KMS10等可疑的任务,选中该任务,右键禁用
,之后开机就不会启动了。
- 下载
Hitman pro
下载地址。scan扫描一遍,删除可疑项。
到这步做完之后,可以尝试重启电脑,看看还有没有出现流氓软件耍流氓的情况。一般是没有惹。如果还有的话请留言,谢谢。
小结:这个原理我猜大致是每次点开浏览器的时候,流氓程序写了由一个钩子hook函数,jump到了一个流氓网址去了。但由于我的能力有限,不会用x64dbg逆向**(查看jmp都很正常T_T),找不到流氓程序来自哪个dll,也删不掉。
参考了 :
https://www.zhihu.com/question/67602632
https://www.zhihu.com/question/26998906
https://www.zhihu.com/question/23157265