步驟:
- 用everything搜“2345”,把可疑的文件刪掉,諸如2345explorer開頭的文件。
![在這裏插入圖片描述]()
(這個是刪完沒問題後的) - 選中瀏覽器 右鍵chrome/firefox等 → 屬性 → 目標 :把.exe後面的後綴的可疑主頁刪掉。(該方法治標不治本但可以清一下)
![在這裏插入圖片描述]()
(往後拉,有可疑的主頁) - 打開瀏覽器chrome/firefox等的文件所在位置,返回桌面,刪除桌面chrome/firefox等快捷方式圖標,在文件所在位置重新發送桌面快捷方式。(該方法治標不治本但可以清一下)
![在這裏插入圖片描述]()
- 按
Win+R,輸入regedit然後按下Enter回車鍵。
依次定位到:
HKEY_CURRENT_USER\Software\Policies\Microsoft
展開Microsoft,查看其下是否包含子項 Internet Explorer 若有,刪除(右擊Internet Explorer,選擇“刪除”)。
然後再依次定位到以下3個註冊表項。單擊Main,查看右邊細節窗口中[Default_Page_URL]值和[Start Page]值是否有異常。如果被修改了,請根據自己的需要改回(右擊鍵值,選擇“修改”進行更改)。
[Default_Page_URL]設置成你想要的主頁;[Start Page]可以設置爲about:blank
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
小提示:在上面箭頭處可以複製路徑過去,不需要在旁邊文件夾一個個展開尋找
繼續搜索註冊表,檢查註冊表所有選項裏有沒有2345這個文件加,只要點開每個HKEY_XXXX文件加,然後按鍵盤2,能快速查找到,把所有含2345這個文件刪除。
- 在windows搜索裏搜索
計劃任務,點擊左側任務計劃程序庫,查看可疑程序建的任務。比如發現有KMS10等可疑的任務,選中該任務,右鍵禁用,之後開機就不會啓動了。
![在這裏插入圖片描述]()
- 下載
Hitman pro下載地址。scan掃描一遍,刪除可疑項。
到這步做完之後,可以嘗試重啓電腦,看看還有沒有出現流氓軟件耍流氓的情況。一般是沒有惹。如果還有的話請留言,謝謝。
小結:這個原理我猜大致是每次點開瀏覽器的時候,流氓程序寫了由一個鉤子hook函數,jump到了一個流氓網址去了。但由於我的能力有限,不會用x64dbg逆向破解(查看jmp都很正常T_T),找不到流氓程序來自哪個dll,也刪不掉。
參考了 :
https://www.zhihu.com/question/67602632
https://www.zhihu.com/question/26998906
https://www.zhihu.com/question/23157265