浏览器被hao.360.cn劫持-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 浏览器被hao.360.cn劫持 0.00雪花

发表于: 2015-8-14 11:28 29486

[旧帖] 浏览器被hao.360.cn劫持 0.00雪花

gexinyu

2015-8-14 11:28

29486

故障现象：
1、进入系统自动打开默认浏览器。查看系统启动项，并未发现有此浏览器启动项。
2、自动打开网页：http://hao.360.cn/?src=lm&ls=n4096432c93（看上去像是360的推广）。搜注册表，未发现任何蛛丝马迹。

因此我怀疑浏览器被劫持了，查explorer.exe的加载模块，也没有什么结果，也许是注入其他的进程？我不能确定。它是通过什么方法开机自动启动浏览器，并打开推广网页的呢？请大家指点，深表感谢！！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・1

免费・0

支持

最新回复 (34) 1 2 ▶
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 2 楼什么浏览器啊?IE、chrome、firefox、opera、360chrome、baidu_browser、ucweb？ 2015-8-14 11:32 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 3 楼世界之窗（内核chrome） 2015-8-14 11:55 0
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 140 粉丝 3 关注私信	cavan 4 楼你用360安全卫士锁定一下试试,我就不信这个推广还能比360更流氓. 2015-8-14 12:28 0
暗伤雪币： 185 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	暗伤 5 楼所有程序-----启动里面看一下，注册表里启动项也看一下 2015-8-14 13:24 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 6 楼有个软件autoruns.exe。注意，一定要带末尾那个s，能够检查所有启动项，驱动,引导执行，解码组件，IE控件，计划任务，边栏组件和映像劫持等。下载了之后检查属性的详细信息里产品名称是否是Sysinternals autoruns。 2015-8-14 13:50 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 7 楼没有用，查不到。估计可能是进程注入，但不知是注入的哪个进程。也不知道怎么查。 2015-8-14 15:25 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 8 楼这就是360的推广。 2015-8-14 15:26 0
maoliren 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maoliren 9 楼你好，关于你的问题，我觉得应该是浏览器启动后面的参数设置的问题。你看到后面的“http地址”。经常是这里设置了。你可以鼠标右键浏览器的exe文件，属性可以自行修改。 2015-8-14 19:31 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 10 楼非即插即用驱动有没有可疑项？这个地方经常被忽略。 2015-8-16 00:32 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 11 楼 [QUOTE=maoliren;1386639]你好，关于你的问题，我觉得应该是浏览器启动后面的参数设置的问题。你看到后面的“http地址”。经常是这里设置了。你可以鼠标右键浏览器的exe文件，属性可以自行修改。[/QUOTE] 这个正常。另外还有个奇怪的问题是，浏览器开机自动启动，但启动项也正常。故现在怀疑是注入，但不知道注入的是哪个进程？ 2015-8-17 10:11 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 12 楼详细看了一下，参考百度，似乎没有什么大的问题。我就奇怪浏览器事如何实现开机自启的？？ 2015-8-17 10:19 0
梁小凉雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	梁小凉 13 楼 6月份一同学浏览器主页被改成hao123，几经周折无果遂找到了我，无奈，拿起PChunter开查，发现其驱动模块中有个签名是百度的驱动，而他本机无任何百度产品，于是就，(他回想最近一次是用百度高速下载xxx的不深入探讨)，删除后发现还是被劫持，发现在内核-系统回调下还有残留，清理干净后主页恢复 ,别忘了查查SPI:)。 2015-8-19 16:04 0
某位回忆雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	某位回忆 14 楼看看浏览器的启动参数 2015-8-21 11:49 0
fei法ru境雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	fei法ru境 15 楼用安全软件，查看开机自动启动的相关软件，如果有世界之窗就禁用了。 2015-8-21 14:42 0
johnsonshu 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	johnsonshu 16 楼 explorer 应该没事。它只是改了快捷方式,记得该回来时，快捷方式去掉只读属性 2015-8-21 15:42 0
laoziyema 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	laoziyema 17 楼一个朋友的机器是chrome,主页一直是hao123更改不了,曾尝试着注册表，gpedit上更改等更改都不可以。最后用IE把主页改为空白页，提示是否更改，点击确认更改，之后好了。LZ也可以这样尝试一下。 2015-8-21 16:30 0
androidssd 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	androidssd 18 楼应该是启动参数问题，错不了的，360不会注入你的程序，这太流氓了 2015-8-22 04:02 0
ldfkx 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ldfkx 19 楼重装浏览器看看 2015-8-23 00:54 0
彩色弟雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	彩色弟 20 楼 9楼的情况我也遇到过,找到该软件的快捷方式右键一下,看软件位置,可能被篡改了 2015-8-23 02:13 0
maoliren 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maoliren 21 楼 win+R 输入msconfig 回车看到启动的选项卡了吗？看看这个是否有陌生的进程？查找一下。后面有注册表的信息，进入一下，看看键值 2015-8-23 22:06 0
sleshep 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	sleshep 22 楼卸载快播就可以了,我试过 2015-8-23 22:51 0
joyablu 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	joyablu 23 楼没有比360还牛盲的 2015-8-26 09:29 0
lisyun 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	lisyun 24 楼是不是安装过通达OA精灵2013版的，安装时有个选项就是设置360首页，这个确实在注册表中很难清理干净，注册便中搜索360未必会找到，它可能为别的参数，当打开浏览器后自动跳转到360网页上的，建议重置浏览器、清除缓存，清扫系统垃圾。 2015-8-29 14:10 0
辰之星雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	辰之星 25 楼用360安全卫士锁定下，看看行不行。 2015-8-29 20:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

gexinyu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (34) 1 2 ▶
猪会被杀掉雪币： 18 活跃值： (1059) 能力值： ( LV7，RANK：110 ) 在线值：发帖 32 回帖 507 粉丝 45 关注私信	猪会被杀掉 1 2 楼什么浏览器啊?IE、chrome、firefox、opera、360chrome、baidu_browser、ucweb？ 2015-8-14 11:32 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 3 楼世界之窗（内核chrome） 2015-8-14 11:55 0
cavan 雪币： 293 活跃值： (239) 能力值： ( LV2，RANK：10 ) 在线值：发帖 27 回帖 140 粉丝 3 关注私信	cavan 4 楼你用360安全卫士锁定一下试试,我就不信这个推广还能比360更流氓. 2015-8-14 12:28 0
暗伤雪币： 185 活跃值： (41) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	暗伤 5 楼所有程序-----启动里面看一下，注册表里启动项也看一下 2015-8-14 13:24 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 6 楼有个软件autoruns.exe。注意，一定要带末尾那个s，能够检查所有启动项，驱动,引导执行，解码组件，IE控件，计划任务，边栏组件和映像劫持等。下载了之后检查属性的详细信息里产品名称是否是Sysinternals autoruns。 2015-8-14 13:50 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 7 楼没有用，查不到。估计可能是进程注入，但不知是注入的哪个进程。也不知道怎么查。 2015-8-14 15:25 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 8 楼这就是360的推广。 2015-8-14 15:26 0
maoliren 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maoliren 9 楼你好，关于你的问题，我觉得应该是浏览器启动后面的参数设置的问题。你看到后面的“http地址”。经常是这里设置了。你可以鼠标右键浏览器的exe文件，属性可以自行修改。 2015-8-14 19:31 0
zkek 雪币： 10 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 109 粉丝 0 关注私信	zkek 10 楼非即插即用驱动有没有可疑项？这个地方经常被忽略。 2015-8-16 00:32 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 11 楼 [QUOTE=maoliren;1386639]你好，关于你的问题，我觉得应该是浏览器启动后面的参数设置的问题。你看到后面的“http地址”。经常是这里设置了。你可以鼠标右键浏览器的exe文件，属性可以自行修改。[/QUOTE] 这个正常。另外还有个奇怪的问题是，浏览器开机自动启动，但启动项也正常。故现在怀疑是注入，但不知道注入的是哪个进程？ 2015-8-17 10:11 0
gexinyu 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	gexinyu 12 楼详细看了一下，参考百度，似乎没有什么大的问题。我就奇怪浏览器事如何实现开机自启的？？ 2015-8-17 10:19 0
梁小凉雪币： 8 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 34 粉丝 0 关注私信	梁小凉 13 楼 6月份一同学浏览器主页被改成hao123，几经周折无果遂找到了我，无奈，拿起PChunter开查，发现其驱动模块中有个签名是百度的驱动，而他本机无任何百度产品，于是就，(他回想最近一次是用百度高速下载xxx的不深入探讨)，删除后发现还是被劫持，发现在内核-系统回调下还有残留，清理干净后主页恢复 ,别忘了查查SPI:)。 2015-8-19 16:04 0
某位回忆雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	某位回忆 14 楼看看浏览器的启动参数 2015-8-21 11:49 0
fei法ru境雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	fei法ru境 15 楼用安全软件，查看开机自动启动的相关软件，如果有世界之窗就禁用了。 2015-8-21 14:42 0
johnsonshu 雪币： 9 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	johnsonshu 16 楼 explorer 应该没事。它只是改了快捷方式,记得该回来时，快捷方式去掉只读属性 2015-8-21 15:42 0
laoziyema 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	laoziyema 17 楼一个朋友的机器是chrome,主页一直是hao123更改不了,曾尝试着注册表，gpedit上更改等更改都不可以。最后用IE把主页改为空白页，提示是否更改，点击确认更改，之后好了。LZ也可以这样尝试一下。 2015-8-21 16:30 0
androidssd 雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	androidssd 18 楼应该是启动参数问题，错不了的，360不会注入你的程序，这太流氓了 2015-8-22 04:02 0
ldfkx 雪币： 29 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 6 粉丝 0 关注私信	ldfkx 19 楼重装浏览器看看 2015-8-23 00:54 0
彩色弟雪币： 40 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 6 粉丝 0 关注私信	彩色弟 20 楼 9楼的情况我也遇到过,找到该软件的快捷方式右键一下,看软件位置,可能被篡改了 2015-8-23 02:13 0
maoliren 雪币： 14 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	maoliren 21 楼 win+R 输入msconfig 回车看到启动的选项卡了吗？看看这个是否有陌生的进程？查找一下。后面有注册表的信息，进入一下，看看键值 2015-8-23 22:06 0
sleshep 雪币： 60 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 83 粉丝 0 关注私信	sleshep 22 楼卸载快播就可以了,我试过 2015-8-23 22:51 0
joyablu 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	joyablu 23 楼没有比360还牛盲的 2015-8-26 09:29 0
lisyun 雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	lisyun 24 楼是不是安装过通达OA精灵2013版的，安装时有个选项就是设置360首页，这个确实在注册表中很难清理干净，注册便中搜索360未必会找到，它可能为别的参数，当打开浏览器后自动跳转到360网页上的，建议重置浏览器、清除缓存，清扫系统垃圾。 2015-8-29 14:10 0
辰之星雪币： 36 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	辰之星 25 楼用360安全卫士锁定下，看看行不行。 2015-8-29 20:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复