手动检测恶意软件和清除恶意软件劫持浏览器行为

2017年03月27日

原创内容,转载请注明出处: https://www.myzhenai.com.cn/post/2497.html https://www.myzhenai.com/thread-17984-1-1.html
关键词: 手动检测 恶意软件 浏览器首页劫持 浏览器劫持
火绒https://www.huorong.cn/

按下键盘上的win(旗标键)+R键 打开运行对话框 在对话框里输入
regedit 注册表
msconfig 启动项管理工具
gpedit.msc 组策略
inetcpl.cpl IE选项

控制面板--管理工具--服务
控制面板-管理工具--任务计划程序

 

1:注册表
2:启动项
3:注入模块
4:host文件
5:驱动文件
6:浏览器加载项目
7:Dns劫持
8:服务项目
9:浏览器配置文件
10:计划任务
11:桌面快捷方式添加命令参数

 

注册表
一般从编程的思路上来说,劫持浏览器的行为一般是通过更改系统的一些配置,有时候恶意软件是通过更改注册表里的相关键值来实现浏览器劫持,因为浏览器在启动的时候会自动去读取相关的注册表键值打开主页。所以很多恶意软件也会更改注册表的相关键值来实现劫持.我们可以打开注册表,然后点击工具栏上的 编辑\查找 在查找目标文本框里输入当前被劫持到的首页的域名,F3键可以继续搜索下一个。然后将搜索出来的项目或键值的值更改,即把包含这个域名的键值的文本值改为你需要的地址。如果提示没有权限更改的时候,请用Administrotor账户登录,或者在该注册表项目上点击右键\权限 然后将当前用户添加到此权限用户组里即可.

启动项
启动项也会为很多种,一般一个程序或模块要随机启动的话,首先是将行为写入驱动文件(.sys文件),然后驱动文件会在系统加载之前被先加载,而我们要查杀恶意驱动文件的话,只能是在安全模式下进行删除,正常模式下是不能删除驱动文件的,强行删除的话会造成蓝屏或系统崩溃。其次,恶意程序也可以将自身行为写成一个模块(.dll文件),并将这个模块注入到其他进程之中,那么其他进程启动的时候就会把这个模块也启动。例如Explorer.exe,这是系统重要进程,如果这个进程没有启动的话,桌面是不会显示的。所以很多恶意软件和病毒会注入这个进程,我们要查看进程加载的模块,只能是借助一些其他程序,比如火绒扩展软件中的火绒剑,或者PowerTool或XT等。还有就是注册表启动了,因为系统启动的过程中会读取注册表的一些键值,根据用户配置来启动一些软件,一些正常的软件会将自己的主程序路径写入注册表启动键值中。开始菜单里的启动项也是会被写入注册表的。系统的计划任务程序也是可以定时启动文件的。


注入模块
上面我们说了,恶意软件或病毒会把自己的行为写成.dll库文件,然后将这个模块注入到其他正常进程之中,常见的被注入的模块是Explorer.exe IInternetExplorer.exe这两个进程,我们可以用火绒剑,或者PowerTool或XT等软件显示这些进程所有加载模块,如果看到有异常的模块我们可以在安全模式下进行删除,不过删除前需要确认模块的路径,因为输入法,显卡,声卡,安全软件等很多正常程序也会把自身模块注入到其他进程。

host文件
打开系统当前盘符(c:)\工具\文件夹选项\隐藏受保护的操作系统文件(去勾)\显示隐藏的文件、文件夹和驱动器(选中)\Windows\System32\drivers\etc\hosts 用记事本打开这个文件,然后看一看里边有没有恶意的网址信息,用的话就将该行删除,如果提示没有权限删除的话,在hosts文件上右键\属性\安全\高级\更改权限 将当前用户名添加进权限项目里。

驱动文件
如何判断一个驱动文件是不是恶意文件或病毒文件,我们只能是使用杀毒软件或安全软件扫描系统,根据扫描结果来判断并在安全模式下删除,因为系统里的驱动文件实在太多了,这里不得不说一下国内的软件行业,一个播放器,一个聊天工具,一个非安全性能的软件也非得写驱动来加载,实在不知道他们想干什么。

浏览器加载项
浏览器加载项一般是IInternetExplorer浏览器里会加载的一些ActiveX控件,基于IInternetExplorer内核的浏览器会受影响,非IInternetExplorer内核的浏览器一般不会受此影,我们可以通过查看当前加载的项目,认为不需要加载的可以用右键\禁用,这里是可以优化一些的加载项目提升浏览器运行速度的。

Dns劫持
说到这个我们有时候就无能为力了,因为这个有时候不是我们本地电脑和系统的原因,而是ISP(宽带运营商)端口方面进行的劫持,当然,我们也可以通过改变我们本机的DSN地址来看看是不是能规避劫持。
屏幕右下角\托盘图标(网络拨号)\右键(打开网络和共享中心)\更改适配器设置\本地连接in当前拨号连接\Internet协议版本4\属性\使用下面的DNS服务器地址\分别填入首选DNS服务器地址和备用DNS服务器地址\确定 如果更换了本地DNS服务器地址还没有效果的话,请检查你的hosts文件,还不能解决问题的话,到工信部官方网站去投诉你现在的宽带运营商。

服务项目
很多朋友经常说有些程序不能正常卸载或进程不能关闭,其实他们都忽略了系统的另一个功能,服务项目(通过svchost.exe来加载),服务项目比模块和进程的权限要高一点,因为它的启动顺序要比普通进程或模块高,一般是驱动启动后就到服务项目启动,所以我们也要检查我们的服务项目,看看有没有异常的服务项目随机启动,有的话我们可以通过该服务项目上右键\禁止或手动,然后停止该服务项目。删除服务项目可以用命令行来删除,”开始““运行”输入cmd回车,打开cmd。输入sc可以看到使用方法。sc delete “服务名” (如果服务名中间有空格,就需要给服务名前后加半角的双引号),服务名称不是显示名称。打开“服务”右键“属性”查看。系统自带服务,不要删除。

浏览器配置项目
我之前在卡饭论坛上看过一篇关于浏览器首页被劫持的解决方案,这个恶意软件有点特别,它是将首页地址写入到了浏览器配置项目里去了,一般是.ini/.dat/.xml等后缀名的文件,我们可以通过更改文件夹选项中 文件夹选项\搜索\始终搜索文件名和内容(此过程可能需要几分钟)\选中\确定 然后显示所有隐藏受保护文件和显示所有文件,在c:盘中的搜索框里搜索被劫持的首页地址,然后打开搜索到的文件,将该地址删除或更改为自己需要的首页的地址,保存该文件即可。


计划任务程序
有很多恶意软件或病毒会往计划任务程序里添加项目,进而定时运行或监控,这个也是很多朋友在查杀病毒或恶意软件的时候没有注意的地方,我们可以通过检查计划任务里的项目,看看哪些是可疑的,可以停止或删除该项目,当然,我们也可以借助一些程序来进行检查,如360安全卫士 火绒剑 PowerTool等.

桌面快捷方式添加命令参数
这个作法现在已经很少有恶意软件会这么做了,但也不排除一些恶意软件会这样做,也许该作者二呢,我们可以在该快捷方式图标上右键\属性\目标in起始位置中看一看,有没有特殊的符号,如果有那么就是被天加了命令行参数了。我们可以将特殊符号后边的内容删除掉。

写在最后:我们只需要了解了这些,我们大致就可以了解一个程序的行为,大致上也能检查出问题到底出在哪里,然后我们就可以手动查杀或清除恶意软件给我们带来的麻烦和困扰。至于说为什么我要推荐火绒剑,那是因为这个程序的直观性比较好,功能性强大,能很好的进行检测和排查。在手动检查之前,需要先了解如何进入安全模式,升级你的安全软件病毒库至最新版本,关闭你的系统还原功能,备份你桌面和用户目录里的重要文件到基他非系统分区的盘里。然后进入安全模式全盘查杀,可以将查杀到的文件在安全模式里删除,如果Explorer.exe 这个进程被感染和替换了,你可以拷贝一个同样系统的该文件,在安全模式下进行替换或用winpe进行替换。


sicnature ---------------------------------------------------------------------
I P 地 址: 18.97.14.84
区 域 位 置: 美国马萨诸塞
系 统 信 息: 美国
Original content, please indicate the source:
同福客栈论坛 | 蟒蛇科普海南乡情论坛 | JiaYu Blog
sicnature ---------------------------------------------------------------------
Welcome to reprint. Please indicate the source https://myzhenai.com/post/2497.html

没有评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注