刚才,一个朋友的Windows7 电脑中IE、搜狗等浏览器首页qq789.com.cn劫持,请我通过QQ帮助远程解决。
右击朋友电脑桌面上的朋友Internet Explorer从弹出菜单中选择属性和弹出Internet 属性窗口如下:
它看起来很奇怪,也很不舒服,看起来很奇怪Internet选项的某些功能受到限制。正常的通过控制面板打开Internet 属性窗口如下:
Internet选项 中的IE主页设置没有被篡改,后台应该有恶意程序进行动态劫持。
下载 pe_xscan扫描log发现以下可疑项目:
pe_xscan 11-03-17 by Purple Endurer 2022-7-26 23:16:11 Windows Windows 7 Service Pack 1(6.1.7601) MSIE:9.11.9600.19596 管理员用户组 正常模式
O2 - IeAddOn(JsObject Class) - {11CC93E4-0BE6-4f8f-82AA-D577FB955B05} = C:\Program Files (x86)\addr\{8AA6CAA9-9E8E-8BBA-091C-1725149617FF}\AddressBar.dll |$X O2 - IeAddOn(FanQianBao Class) - {21E5EE35-AAD0-40FF-BC55-6CF604906097} = C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBExtIE.dll |$Shanghai Zheyue Financial Information Service Co.,Ltd. | 2017-6-29 21:12:57 | 返钱宝宝Web组件 | 2.0.1.10 | 返钱宝宝Web组件 | Copyright(C) 2011-2016 fanqianbb.com All Rights Reserved. | 2.0.1.10 | fanqianbb.com| ? | FQBExtIE.dll | FQBExtIE.dll O2 - IeAddOn(KouShuiDang Class) - {25A1EDDD-CAD0-40EE-B868-905EA69DC803} = C:\Users\Administrator\AppData\Local\tucao\module\TCHelper.dll |$Shanghai Ban Ru Tech Co. Ltd. | 2017-8-16 17:48:53 | 口水党IE浏览器扩展 | 1.2.0.13 | 口水党IE浏览器扩展 | Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd. | 1.2.0.13 | koushuidang.cn| ? | TCHelper.dll | TCHelper.dll O2 - IeAddOn(FQBPlugin Class) - {7C315CD5-FE48-4E1D-99C5-2BC70841BE88} = C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBPlugin.dll |$Shanghai Zheyue Financial Information Service Co.,Ltd. | 2017-6-29 21:12:58 | 返钱宝宝Web插件 | 2.0.1.10 | 返钱宝宝Web插件 | Copyright(C) 2011-2016 fanqianbb.com All Rights Reserved. | 2.0.1.10 | fanqianbb.com| ? | FQBPlugin.dll | FQBPlugin.dll O2 - IeAddOn(KSD Plugin Class) - {E05434C6-00F1-41DA-988E-F953F1A56460} = C:\Users\Administrator\AppData\Local\tucao\module\TCPlugin.dll |$Shanghai Ban Ru Tech Co. Ltd. | 2017-8-16 17:48:54 | 口水党插件模块 | 1.2.0.13 | 口水党插件模块 | Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd. | 1.2.0.13 | koushuidang.cn| ? | TCPlugin.dll | TCPlugin.dll
DandelionStarter.job -> C:\Users\Administrator\AppData\Roaming\talimama\tm\Dandelion.exe MSBBSL AutoUpdate.job_ -> C:\Program Files (x86)\MSBBSL\0.0.22.13\MSBBSLUpdate.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\restrictions 存在 IE或Internet可能会限制选项 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet可能会限制选项 O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions 存在 IE或Internet可能会限制选项
O23 - 服务: 2345CPort (2345CPort) - system32\drivers\2345CPort.sys |$X(禁用) O23 - 服务: 2345NsProtect (2345NsProtect) - system32\drivers\2345NsProtect.sys |$X(系统) O23 - 服务: 2345WebProtectFrame (2345WebProtectFrame) - system32\drivers\2345WebProtectFrame.sys |$X(禁用)
O23 - 服务: blbdrive () - system32\DRIVERS\blbdrive.sys |$X(系统) O23 - 服务: bootsafe (bootsafe) - system32\Drivers\bootsafe64.sys |$X(引导) O23 - 服务: bowser (@%systemroot%\system32\browser.dll,-102) - system32\DRIVERS\bowser.sys |$X(手动)
O23 - 服务: Disk (磁盘驱动程序) - system32\drivers\disk.sys |$X(引导) O23 - 服务: diskdump () - system32\drivers\diskdump.sys |$X(手动)
O23 - 服务: FQBService (FQBService) - C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBSvc.exe |$Shanghai Zheyue Financial Information Service Co.,Ltd. | 2017-4-18 10:26:14 | 退款保护模块 | 1.0.1.39 | 防止返钱订单丢失的服务, 关闭此服务可能无法正常返还。. 建议自动开启此服务. | Copyright(C) 2011-2016 fanqianbb.com All Rights Reserved. | 1.0.1.39 | fanqianbb.com| ? | 退款保护模块| ? | 退款保护模块| ?(禁用) O23 - 服务: GmXbox_update1 (GmXbox_update service) - C:\windows\system32\svchost.exe -k GmXbox_update |$M$ | 2009-7-14 9:14:41 | Microsoft? Windows? Windows? Operating System | 6.1.7600.16385 | Windows 服务主进程 | ? Microsoft Corporation. All rights reserved. | 6.1.7600.16385 (win7_rtm.090713-1255) | Microsoft Corporation| ? | svchost.exe | svchost.exe.mui &nsp; -> C:\Program Files (x86)\gmbox\gmbox.dll |$X(停止) O23 - 服务: GSoInputUpdateSvr (GSoInputUpdateSvr) - "C:\Program Files (x86)\GSoSoft\GSoInput\1.0.0.2162\GSoInputUpdateSvr.exe" |$He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si | 2019-12-25 12:28:21 | 极速输入法升级服务 | 1.0.0.2162 | 极速输入法升级服务 | Copyright 2019 He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si. All rights reserved. | 1.0.0.2162 | He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si| ? | GSoInputUpdateSvr.exe | GSoInputUpdateSvr.exe(手动) O23 - 服务: GSoSecue () - system32\drivers\diskdump.sys |$X(手动) O23 - 服务: KuaiZipDrive (${APPNAME}驱动程序) - C:\Users\Administrator\AppData\Roaming\快压\X64\KuaiZipDrive.sys |$X(自动) O23 - 服务: regsdump () - system32\drivers\diskdump.sys |$X(手动)
O23 - 服务: ttmtor (ttmtor) - C:\Windows\system32\drivers\ttmtor.sys |$X | Helper | 1.0.0 | 2345全盘平台 | 版权所有(c) | 1.0.0.2366 | | ? | 2345quanpan | 2345quanpan.sys(系统)
O23 - 服务: WinUsb (Android USB Driver) - system32\DRIVERS\WinUsb.sys |$X(停止)
O23 - 服务: WSSvcHost (WSSvcHost) - C:\Windows\SysWOW64\svchost.exe -k Fvalutor |$M$ | 2009-7-14 9:14:41 | Microsoft? Windows? Operating System | 6.1.7600.16385 | Windows 服务主进程 | ? Microsoft Corporation. All rights reserved. | 6.1.7600.16385 (win7_rtm.090713-1255) | Microsoft Corporation| ? | svchost.exe | svchost.exe.mui -> C:\Users\Administrator\AppData\Roaming\WSSvcHost\Svcmpir.dll |$Sichuan Zhiling Times Network Technology Co., Ltd. | 2019-12-25 12:27:17 | 值购助手 | 1,0,2,19125 | 值购助手 | Copyright (C) 2019| ? | 四川智领时代网络科技有限公司| ? | 值购助手 | Svcmpir.dll(停止) O23 - 服务: yJgYyLtojKFhlS (FSFilter mini-filter driver) - system32\DRIVERS\yJgYyLtojKFhlS.sys |$X(系统)
好多广告程序,而且有不少是驱动程序级的,手工处理起来工作量可不小。
Bing了一下,发现有不少网友也遇到这个问题,大都和某激活工具有关。
有网友反映可以使用火绒恶性木马专杀工具来解决。
先用bat_do打包了一些可疑文件传回来,再用火绒恶性木马专杀工具来解决。直接运行专杀工具没反应,把程序文件名改了才能运行。
检测出了5个,其中有两个处理失败。让网友重启电脑再试,浏览器首页被劫持的问题已经解决。
把传回来可疑文件做了一下特征提取和在线杀毒扫描,结果挺有意思,国内纯数字的杀软几乎全军覆没,R开头的杀软能检测出大部分,G开头的某个国外的杀软倒是检测出绝大部分。
文件说明符 : C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBExtIE.dll 属性 : A--- 数字签名:Shanghai Zheyue Financial Information Service Co.,Ltd. PE文件:是 语言 : 英语(美国) 文件版本 : 2.0.1.10 说明 : 返钱宝宝Web组件 版权 : Copyright(C) 2011-2016 fanqianbb.com All Rights Reserved. 产品版本 : 2.0.1.10 产品名称 : 返钱宝宝Web组件 公司名称 : fanqianbb.com 内部名称 : FQBExtIE.dll 源文件名 : FQBExtIE.dll 创建时间 : 2017-6-3 8:26:27 修改时间 : 2017-6-29 21:12:57 大小 : 1340560 字节 1.285 MB MD5 : b4b842d849f5a042430e2bfc6317c348 SHA1: C587F9316E745D0FCB60C6638863015BB247ECF6 CRC32: df3b3e22
Rising:Adware.Bang5mai!8.601 (CLOUD) Qihu360:Generic/Heur.Generic.Hx4CEpsA https://www.virscan.org/report/89ae5b664d8e5ce23f0d9d3e00bab5db135af76b253ddf67df807c7720d2f8e9
文件说明符 : C:\Users\Administrator\AppData\Local\tucao\module\TCHelper.dll 属性 : A--- 数字签名:Shanghai Ban Ru Tech Co. Ltd. PE文件:是 语言 : 英语(美国) 文件版本 : 1.2.0.13 说明 : 口水党IE浏览器扩展 版权 : Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd. 产品版本 : 1.2.0.13 产品名称 : 口水党IE浏览器扩展 公司名称 : koushuidang.cn 内部名称 : TCHelper.dll 源文件名 : TCHelper.dll 创建时间 : 2017-4-28 20:4:1 修改时间 : 2017-8-16 17:48:53 大小 : 1984584 字节 1.914 MB MD5 : fb19593277c152801637c75ae5438813 SHA1: 4853747EA354D6B1435DD6E1E4B2BA199AC7D538 CRC32: 5a2f435d
Rising:Adware.Bang5mai!8.601 (CLOUD) Qihu360:Generic/Heur.Generic.Hx4CEpsA https://www.virscan.org/report/89ae5b664d8e5ce23f0d9d3e00bab5db135af76b253ddf67df807c7720d2f8e9
文件说明符 : C:\Users\Administrator\AppData\Local\tucao\module\TCPlugin.dll 属性 : A--- 数字签名:Shanghai Ban Ru Tech Co. Ltd. PE文件:是 语言 : 英语(美国) 文件版本 : 1.2.0.13 说明 : 口水党插件模块 版权 : Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd. 产品版本 : 1.2.0.13 产品名称 : 口水党插件模块 公司名称 : koushuidang.cn 内部名称 : TCPlugin.dll 源文件名 : TCPlugin.dll 创建时间 : 2017-4-28 20:4:2 修改时间 : 2017-8-16 17:48:54 大小 : 2017352 字节 1.946 MB MD5 : 1000644ea69f54e7325cf140a2723cae SHA1: C650E7825BA2C64B043AE8A6009AB72F2FD134B5 CRC32: 5ab0f83d
Rising:PUA.Yantai!8.F640 (CLOUD) Qihu360:Win32/Heur.Generic.Hx4CmV0A https://www.virscan.org/report/955ef60df1a2f83471bc4fcf67785f2ebc2f074ed82c32bf662d2f3a51573931
文件说明符 : C:\Users\Administrator\AppData\Roaming\talimama\tm\Dandelion.exe 属性 : A--- 数字签名:TAOBAO (CHINA) SOFTWARE CO.,LTD. PE文件:是 语言 : 英语(美国) 文件版本 : 1.5.3.0 产品版本 : 1.5.3.0 内部名称 : Dandelion 创建时间 : 2016-2-22 17:10:32 修改时间 : 2016-2-22 17:10:32 大小 : 1975264 字节 1.904 MB MD5 : 0193b0a034da9e6e2d7ac3e24aed915d SHA1: 34ABF04C2EBAD4E6847BC752EE50AB18825CB779 CRC32: 827b43e0
Rising:无检出 Qihu360:无检出 https://www.virscan.org/report/4c80a18a3913db73832f71c36c24c2292af965a93b1f6b61b8f555fcfaed38e0
文件说明符 : C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBSvc.exe 属性 : A--- 数字签名:Shanghai Zheyue Financial Information Service Co.,Ltd. PE文件:是 语言 : 中文(简体,中国) 文件版本 : 1.0.1.39 说明 : 防止返钱订单丢失的服务, 关闭此服务可能出现无法正常获得返钱的情况. 建议自动开启此服务. 版权 : Copyright(C) 2011-2016 fanqianbb.com All Rights Reserved. 产品版本 : 1.0.1.39 产品名称 : 返钱保护模块 公司名称 : fanqianbb.com 内部名称 : 返钱保护模块 创建时间 : 2017-4-18 10:26:14 修改时间 : 2017-1-19 19:16:38 大小 : 94904 字节 92.696 KB MD5 : 83fa9f3e7b5da76e24f3eb9991cd23ba SHA1: 15C31B0991B31C89936D09E052B15CD57B633AEE CRC32: c6d4f17d
Rising:无检出 Qihu360:无检出 https://www.virscan.org/report/4a8ba6a3637e00724bdf5cb97687eaeb4007b20ccf0d9e122bb41c4c242e0d22
文件说明符 :C:\windows\system32\drivers\2345CPort.sys 属性 : A--- 数字签名:Shanghai 2345 Mobile Technology Co., Ltd. PE文件:是 语言 : 中文(简体,中国) 文件版本 : 3.9.0.3616 说明 : 2345安全中心-实时防护 版权 : 版权所有(c) 2019, 2345.cc 备注 : http://www.2345.com 产品版本 : 3.9.0 产品名称 : 2345安全中心 公司名称 : 2345.cc 内部名称 : 2345CPort 源文件名 : 2345CPort.sys 创建时间 : 2022-7-17 2:55:49 修改时间 : 2019-12-25 12:31:34 大小 : 233992 字节 228.520 KB MD5 : ab550d58b1c775e46fda7b90e0c1d2f7 SHA1: 33656E3C8C3CA0EA6FE110D25D3EB35A810811A9 CRC32: 643fdca7
Rising:无检出 Qihu360:无检出 https://www.virscan.org/report/289e7b949d5f306678993f9786ddd64c559d07243fb2b9b7464ed0b9a4222f1f
文件说明符 : C:\windows\system32\drivers\2345NsProtect.sys 属性 : A--- 数字签名:Shanghai 2345 Mobile Technology Co., Ltd. PE文件:是 语言 : 中文(简体,中国) 文件版本 : 3.9.0.3616 说明 : 2345安全中心-系统保护 版权 : 版权所有(c) 2019, 2345.cc 备注 : http://www.2345.com 产品版本 : 3.9.0 产品名称 : 2345安全中心 公司名称 : 2345.cc 内部名称 : 2345NsProtect 源文件名 : 2345NsProtect.sys 创建时间 : 2022-7-17 2:55:49 修改时间 : 2019-12-25 12:32:54 大小 : 492552 字节 481.8 KB MD5 : 080ba6ce83854d0c8aa31d2d26325b6d SHA1: F4DFCB28AA43B112E4284C43AB5C6A378D0E5CD7 CRC32: 693b8633
Rising:无检出 Qihu360:无检出 https://www.virscan.org/report/3f619a7c0d70ece8627153050488f02315ec9a30161a9a2da5c8709dae27900c
文件说明符 : C:\windows\system32\drivers\2345WebProtectFrame.sys 属性 : A--- 数字签名:Shanghai 2345 Mobile Technology Co., Ltd. PE文件:是 语言 : 中文(简体,中国) 文件版本 : 3.9.0.3616 说明 : 2345安全中心-卫士业务 版权 : 版权所有(c) 2019, 2345.cc 备注 : http://www.2345.com 产品版本 : 3.9.0 产品名称 : 2345安全中心 公司名称 : 2345.cc 内部名称 : 2345WebProtectFrame 源文件名 : 2345WebProtectFrame.sys 创建时间 : 2022-7-17 2:55:49 修改时间 : 2019-12-25 12:32:31 大小 : 423432 字节 413.520 KB MD5 : 917208a6a3499398fc1f9c071a6723bc SHA1: 72AEB95F1A69CE551D034ADD7EB0A70ACD0574EC CRC32: f8d18ac7
Rising:Adware.2345Cn!8.14C58 (CLOUD) Qihu360:无检出 https://www.virscan.org/report/5981a62002b5c0298b61b45d818e9f13ea91bf72a64700482f53666510652ba8
文件说明符 : C:\Windows\system32\drivers\ttmtor.sys 属性 : A--- 数字签名:Shanghai 2345 Mobile Technology Co., Ltd. PE文件:是 语言 : 中文(简体,中国) 文件版本 : 1.0.0.2366 说明 : 2345全盘平台 版权 : 版权所有(c) 产品版本 : 1.0.0 产品名称 : Helper 内部名称 : 2345quanpan 源文件名 : 2345quanpan.sys 创建时间 : 2022-7-17 3:26:53 修改时间 : 2019-12-21 18:23:59 大小 : 133200 字节 130.80 KB MD5 : 50250c2b36a57669466d3d046ec33c3d SHA1: 771959E89D493522F4ABB7C2A8945E15674D0647 CRC32: 85d2785c
Rising:Adware.2345Cn!8.14C58 (CLOUD) Qihu360:无检出 https://www.virscan.org/report/22234a914c8793b35b50a9590d15c118cb94ce21be6ad670832a073e3fb1deeb
文件说明符 : C:\Program Files (x86)\GSoSoft\GSoInput\1.0.0.2162\GSoInputUpdateSvr.exe 属性 : A--- 数字签名:He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si PE文件:是 语言 : 中文(简体,中国) 文件版本 : 1.0.0.2162 说明 : 极速输入法升级服务 版权 : Copyright 2019 He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si. All rights reserved. 产品版本 : 1.0.0.2162 产品名称 : 极速输入法升级服务 公司名称 : He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si 内部名称 : GSoInputUpdateSvr.exe 源文件名 : GSoInputUpdateSvr.exe 创建时间 : 2019-12-25 12:28:21 修改时间 : 2019-12-10 12:49:20 大小 : 2014056 字节 1.942 MB MD5 : fbcdb16fb4eb287a5e5244a607f4b3c4 SHA1: 2702745AECAFBA5E8015944A925E4399AAF1603D CRC32: 42ecbe13
文件说明符 : D:\Program Files (x86)\tools\active.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2020-1-4 19:56:12 修改时间 : 2020-1-4 19:56:19 大小 : 1676800 字节 1.613 MB MD5 : f8dfaad847373df04108a16001090c56 SHA1: 930CC2EDFED6782F81CA1AE9BE1CC0BA5D4A873D CRC32: cf8dc0fc
Rising:Trojan.Rovnix!8.33E (RDMK:cmRtazoFp7r5gCR0YPc) Qihu360:无检出 https://www.virscan.org/report/385aea02a62d1cd7cb60f1365fdaacfc8697ce2335f767fbfff5c4cd54e385af
文件说明符 : C:\Users\Administrator\AppData\Roaming\WSSvcHost\Svctoar.exe 属性 : A--- 数字签名:Sichuan Zhiling Times Network Technology Co., Ltd. PE文件:是 语言 : 中文(简体,中国) 版权 : Copyright (C) 2019 创建时间 : 2019-12-25 12:27:17 修改时间 : 2019-12-25 12:26:39 大小 : 755856 字节 738.144 KB MD5 : fd748779dcab863abfcecc7918d10765 SHA1: E6A0BAD68AC785560BBECEBA02132E2E58087640 CRC32: fcf69ffa
Rising:Adware.Agent!1.C6F0 (CLOUD) Qihu360:无检出 https://www.virscan.org/report/cfeeaab51afdd265a8313999759240becc1647182da94cab60e8faccffc333fc
文件说明符 : C:\Users\Administrator\AppData\Roaming\WSSvcHost\Svcmpir.dll 属性 : A--- 数字签名:Sichuan Zhiling Times Network Technology Co., Ltd. PE文件:是 语言 : 中文(简体,中国) 说明 : 值购助手 版权 : Copyright (C) 2019 产品版本 : 1,0,2,19125 产品名称 : 值购助手 公司名称 : 四川智领时代网络科技有限公司 内部名称 : 值购助手 源文件名 : Svcmpir.dll 创建时间 : 2019-12-25 12:27:17 修改时间 : 2019-12-25 12:26:39 大小 : 609424 字节 595.144 KB MD5 : 4bfd5b2173f963c4245adb1816d9e2da SHA1: 701FDCBAEAD2D2FEDB48E3E1C8F4A4988F005D7D CRC32: 94a34ae2
Rising:Adware.Agent!1.CFD3 (CLOUD) Qihu360:无检出 https://www.virscan.org/report/ca158158e419382b56af67452de796adcdf0bfd0cf8ca46e9c57f12716e77ae6
文件说明符 : C:\Windows\system32\drivers\yJgYyLtojKFhlS.sys 属性 : A--- 数字签名:广州昶兴信息科技有限公司 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2022-7-17 4:46:14 修改时间 : 2022-3-22 20:51:50 大小 : 316104 字节 308.712 KB MD5 : 8179adbc056b157cc61a712ce2296b04 SHA1: 14C745D3C5C637F00AE24117D1392EC80F706859 CRC32: adab8df4
Rising:Rootkit.AntiAV!1.C7BD (CLASSIC) Qihu360:Win64/Trojan.Rovnix.H8gAnaUA https://www.virscan.org/report/d031ce6a124b334c9cee7fcc79bf83751836124c3e669924380f40dcdc76c542