【杂记】Windows首页挟持病毒查杀过程记录

原创 已于 2022-07-02 14:02:32 修改 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #chrome #系统安全

于 2022-07-02 13:57:12 首次发布
本文记录了一次远程排查Win7 x64系统中浏览器主页被挟持及explorer资源管理器异常的情况。通过火绒剑监控发现Chrome启动时存在恶意参数,疑似explorer被挟持。使用火绒剑的钩子分析模块定位到恶意模块并删除,最终成功恢复系统正常。在清除挟持模块后,火绒查杀了两个病毒——下载者和驱动相关病毒。总结中建议遇到类似问题时,可以先尝试常规杀毒软件,若无效则可能需要深入排查或重装系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、背景

帮人排查电脑问题,顺便简单记录下排查过程,因为是远程排查且比较紧急,排查过程忘了截图,纯文字记录下过程及结果。

二、操作系统

Win7 x64

三、问题现象

  • explorer资源管理器不断报错重启(主要反馈修复的问题)
  • 打开IE\CHROME浏览器被挟持到指定主页(恶意站点信息:*.660055.com)

四、排查步骤

本次主要使用了 【火绒剑】的系统行为监控及钩子扫描模块进行排查

首先,通过【火绒剑】行为监控,监控Chrome启动行为,发现启动时,被携带了恶意站点的启动参数
而启动chrome的应用是explorer.exe

那么为什么explorer启动chrome时会恶意带上这参数呢?

猜测:
结合explorer不断重启的现象猜测,比较大的可能就是explorer给挟持了,而这挟持应用又有BUG导致explorer不断地报错重启。
验证:
继续通过【火绒剑】进程模块-钩子分析,发现explorer进程加载的模块多了几个yyhp_w.dll的加载
并预期地挟持了CreateProcess相关函数,遂定位到这个模块位置,将相关文件进行了强制删除

删除后,重启explorer.exe,系统恢复正常。

最后,重新用火绒进行了病毒查杀,在原本杀不出任何病毒的情况下,这次竟然杀出了2个病毒:

  • 一个是下载者
  • 一个是驱动相关病毒

病毒查杀结果截图:

最低0.47元/天 解锁文章

200万优质内容无限畅学
浏览器被劫持木马查杀hrkill-1.0.0.50.exe
04-17
浏览器被劫持木马查杀hrkill-1.0.0.50
IE病毒专杀工具,查杀流氓软件(IE劫持),internet explorer病毒,IE病毒
09-08
IE病毒专杀工具,我自已中过这个病毒,网上找了很多方法,都太麻烦,修改注册表之类的.很多时候跟本找不到.有了这个工具,干掉这个explorer.exe病毒就容易多了.里面有三个小工具,都可以,我用了vsafe_95125一下就干掉了这个流氓软件.桌面IE图标清理.
dns被劫持怎么办,电信dns劫持解决办法
hua520064的博客
12-10 1248
解决电信劫持dns/dns被劫持怎么办 之前的电信劫持门网络轰动一时,电信利用DNS技术手段做出了明显违背互联网规范的行为,导致电信用户浏览网站时莫名其妙地输入网址后转向了114查询的页面或者广告页面,电信的行为令人不齿,但是没有办法,你有本事不用电信啊,其实想解决这个dns被劫持的问题也很简单,只要把电信的dns修改为国外的DNS即可。今天小编带来修改DNS的图文教程。我们以XP为演示,win7方法相同。 IIS7网站监控可以及时防控网站风险,快速准确监控网站是否遭到各种劫持攻击,网站在全国是否能正常打开
linux服务器排查病毒纪实
m0_59598029的博客
01-11 1140
昨天邮件收到如下图所示:一开始我是束手无策的,根本无从所知病毒在哪,黑客怎么入侵我的服务器。接下来,让我们一步步来排查吧,先看看如何判断 Linux 服务器是否被入侵?从昨天排查杀毒到今天,已经没再给我发警告邮件了,说明病毒已经清除掉了。
认识病毒的映象劫持技术
08-21 955
映像劫持的定义 所谓的映像劫持(IFEO)就是Image File Execution Options,位于注册表的   HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File E
爬虫杂记日常记录十一字
09-14
在网页交互过程中,URL重定向也是一种常见的现象,它涉及网站迁移、负载均衡和优化等应用场景。重定向可以是临时的(HTTP状态码302)或永久的(HTTP状态码301)。 爬虫技术的实现和应用涉及到多个方面的知识。了解...
反爬杂记日常记录十一字
09-14
这一类的反爬措施对爬虫程序来说是一大挑战,因为它们通常需要大量的交互过程。 除了上述技术之外,还存在其他反爬技术,比如IP限制、Robots协议的遵守、字体加密、IP信誉系统、云防护服务、CDN与负载均衡以及...
mynane#web-problem#杂记-45.Golang 在 Mac、Linux、Windows 下如何交叉编译1
07-25
Mac 下编译 Linux 和 Windows 64位可执行程序Linux 下编译 Mac 和 Windows 64位可执行程序Windows 下编译 Mac
学习笔记调试记录及知识点记录知识点杂记汽车行业SEW PLC 机器人-PLC通信IO SICK扫描仪
12-23
学习笔记调试记录及知识点记录知识点杂记汽车行业SEW PLC 机器人_PLC通信IO SICK扫描仪
【已解决】Chrome浏览器被2024年新版流氓软件劫持,总会自动打开hao.360.com和so.com主页
Scott0902的博客
09-19 1万+
就连开始菜单的运行命令也被恶意监测,我敢肯定是系统被注入了恶意代码,一直监测 Chrome 的启动。看来2024年新版的流氓软件出新招了,过去的防范办法已不管用。
火绒剑独立版(Windows平台的安全分析工具,ARK工具)
08-10
火绒剑是一款可以单独分析某个进程,也可以监控所有进程的软件。因为经过微软官方安全认证,所以与 Windows Defender 不能共存,在安装后,Windows会自行关闭WD 如果电脑上没安装火绒安全: 1、以管理员身份运行“HRSword.bat” 2、运行“HRSword.exe”即可,以后每次都点这个运行火绒剑 如果电脑上安装了火绒安全,可以直接双击“HRSword.exe”运行 支持Windows10、Windows7,不支持WindowsXP
火绒剑独立安装包v2.0官方版.rar
09-03
软件介绍: 这个是独立版本的火绒剑,是从火绒剑互联网安全分析软件中提取出来的,火绒剑有一些很实用的功能。可以开启系统监控,查看系统中正在运行的所有进程、模块句柄列表内存列表。启动项管理能列出所有启动项,方便你查看和管理。系统服务中显示了当前系统正在运行的所有服务名称、服务安全状态以及路径描述等信息,驱动进程查看显示正在运行的驱动文件。
火绒剑独立版 v2021.06.01资源文件
最新发布
gitblog_06772的博客
04-22 445
火绒剑独立版 v2021.06.01资源文件 【下载地址】火绒剑独立版v2021.06.01资源文件 火绒剑独立版 v2021.06.01 是一款功能强大的安全工具,专为维护电脑系统安全而设计。无需安装,解压即可使用,方便快捷。它提供了全面的系统监控和防护功能,能够有效抵御恶意程序侵害,确保您的设备安全运行。此版本更新于...
病毒工具-火绒剑
热门推荐
KD的疯狂实验室
08-05 1万+
这是一款由杀软公司支持的AntiRootkit,行之有效的监视记录功能使其成为手工分析样本的利器.作为火绒(杀软)的可选组件提供给用户. ......你想判断一款程序是否是恶意程序?你想要了解自己电脑的安全状况?选择它准没错
【免费下载】 火绒剑独立版:Windows平台的安全分析利器
gitblog_09721的博客
10-28 509
火绒剑独立版:Windows平台的安全分析利器 【下载地址】火绒剑独立版-Windows平台的安全分析工具 火绒剑是一款专为Windows平台设计的安全分析工具,属于ARK(Anti-Rootkit)工具的一种。它能够单独分析某个特定进程,也可以监控系统中所有进程的活动。火绒剑经过微软官方的安全认证,因此在安装后,Win...
三款实用工具推荐:守卫电脑安全,清除后台进程!
weixin_46004477的博客
04-21 470
进程管理、注册表编辑、服务监控等核心功能一应俱全,堪称安全工具界的"瑞士军刀"。微软亲生的进程管理专家,经过民间高手中文本地化,既保留专业血统又兼顾易用性。特别适合需要精准掌控系统资源的技术人员,从后台服务到网络连接,所有运行状态尽在掌控。李师傅特别奉上三个珍藏版本:完整版适合长期使用者,绿色版即开即用,单文件版更是随身必备!
DNS劫持攻击的类型有哪些
a20405010505的博客
09-06 744
  DNS劫持攻击是什么  DNS劫持攻击亦称为DNS重定向是一种网络攻击,攻击者劫持用户的DNS请求,错误地解析网站的IP地址,用户试图加载,从而将其重定向到网络钓鱼站点。  DNS劫持怎么检测  iis7网站监控  测DNS污染检测、网站打开速度检测、网站是否被黑等因素。  要执行DNS劫持攻击,攻击者要么在用户的系统上安装恶意软件,要么通过利用已知漏洞或破解DNS通信来接管路由器。...
漏洞盒子/漏洞扫描-手把手教黑客详细教程
程序员六七的博客
06-10 2070
漏洞背景:1.何为永恒之蓝?永恒之蓝(Eternal Blue)爆发于2017年4月14日晚,是一种利用Windows系统的SMB协议漏洞来获取系统的最...
网络安全应急响应-常用工具
m0_61869253的博客
06-23 2450
FullEventLogView是一个Windows事件日志查看工具,能够显示并查看所有的Windows事件日志的详细信息,包括事件描述,支持查看本地计算机的事件、也可以查看远程计算机的事件,并可以将事件导出为text、csv、tab-delimited、html、xml等类型的文件。PowerTool 一款免费强大的进程管理器,支持进程强制结束,可以Unlock占用文件的进程,查看文件/文件夹被占用的情况,内核模块和驱动的查看和管理,进程模块的内存的dump等功能。
杂记记录的学习与工作感想
根据提供的文件信息,可以解读出相关的知识点主要涉及个人学习、知识记录和写作技巧等方面。接下来我将从这些方面详细说明。 ### 个人学习方法和习惯 #### 笔记的重要性 笔记是学习过程中的重要组成部分,它帮助...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值