本帖最后由 小.黑 于 2015-5-8 19:02 编辑
浏览器自身具备反劫持机制,但在某些场景下可以使劫持不生效,从表象上看是主页被篡改,下面提供一些自行尝试的解决方法,供大家参考。 1.先把浏览器的插件全部禁用下,看看是不是某个恶意插件导致的,操作方法:右上角扩展栏—扩展管理—全部禁用,如图:
PS:如果您界面上没有扩展栏的话,请您在浏览器上面空白处右键—勾选扩展栏即可,如图:
2.检查下浏览器的主页设置(右上角菜单栏—工具—选项—基本设置—主页),是否被恶意修改成别的网址。如图:
3.检查下是否被安全软件锁定了。在安全软件的“设置-上网保护-上网安全设置”取消勾选“锁第三方浏览器主页为XX网址大全”,点击确定看是否可以恢复正常。 4.检查下快捷方式属性:右键查看桌面图标属性,如图:
如果发现SogouExplorer.exe后面有参数时,可以先尝试将参数删除;如果无法删除,就将快捷方式删除,然后去浏览器的安装目录,将SogouExplorer.exe右键—创建快捷方式—复制到桌面即可,如图:
若以上都排除后还是不正常的话,进行下面的方法自行找出这个恶意的DLL文件: ①首先用PE(在后面可以下载)查看搜狗浏览器进程的命令行,查看是否被软件注入劫持。PE无需安装,运行搜狗浏览器后,双击打开PE,右键搜狗浏览器的主进程(上面第一个),选择Properties,查看Command line,后面带有劫持网址的即为软件注入劫持。 如图:
②然后用Windbg (后面有下载包,分别有32 位和64 位的,解压后双击运行windbg.exe即可)查看电脑的explorer.exe 。查看方式是File —Attach to a Process —explorer.exe ,
Windbg(32).rar
(16.03 MB, 下载次数: 3365)
WinDbg(64).rar
(14.36 MB, 下载次数: 5394)
如图:
查看其中是否有非系统或安全软件的dll注入,如图:
一般大部分dll为系统system32文件夹中的,还会有少量安全软件、显卡程序的dll,这些一般是正常情况。剩余的dll需要挨个进行判断,可以将dll名字搜索下,一般都会搜到解释说明,来帮助判断;也可以查看dll的数字签名帮助分析。找出可疑的dll后,找到对应的文件,先尝试重命名该dll,然后注销系统,再打开浏览器观察问题是否解决。如果问题没有解决继续尝试其他dll,如果问题已经解决,则说明就是这个恶意的DLL文件导致的。 注意:最近发现system32下也会有劫持的dll,例如c:\windows\system32\ravexpext.dll,查看后该dll的签名是瑞星的,劫持主页为haosising.cn/?b=44。在其他dll都没有的情况的下注意排查系统文件下的dll。 最后,如果问题依然无法解决的话,请在问题区发帖,写清楚劫持后的地址,留下QQ号,我们技术支持的同学帮您解决。
ProcessExplorer.zip
(1.14 MB, 下载次数: 4668)
|