关于流氓软件的问题，监视任务栏添加的浏览器快捷方式？

pkneteasy 2018-03-19 10:24:35

从 “http://www.yxdown.com/SoftView/SoftView_13771.html” 下载文明4 中招。下载文件名 “yxdown.com_Civilization4_chs.rar”

现在情况是有程序监视 “C:\Users\leon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar” 文件夹，只要把 Chrome 固定到任务栏，这此快捷方式的后面自动添加 “http://hao.*********.com” ,此字符串随机，重定向网站随机。添加的快捷方式权限被修改。

金山卫士毒霸只能锁定主页
修改文件权限限制访问
这两个方法都不能找到监视程序，解决不彻底，有高手帮我想一下如何救出揪出来这个坏蛋！

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.970353.com/

...全文

2445 12 打赏收藏转发到动态举报

写回复

用AI写文章

12 条回复

切换为时间正序

请发表友善的回复…

发表回复

zylfarzero 2018-06-06

打赏
举报

关于这个问题，我有一个类似的问题，今天刚刚自己动手解决了！！你可以试一试奥。 https://bbs.csdn.net/topics/392392987

zara 2018-03-20

打赏
举报

上面那个帖子里的做法是创建同名目录来阻止它再生成文件的吧，总的看着好像很麻烦的

pkneteasy 2018-03-20

打赏
举报

把金山卸载后， “dump_*” 开头还有两个文件，“dump_dumpfve.sys”，“dump_dumpata.sys”均位于 “C:\Windows\System32\Drivers\”，但是这两个文件实际不存在，创建了这两个空文件并把所有权限禁止，重新启动。 System 下依然有位于 “C:\Windows\System32\Drivers\dump_dumpata.sys” 的模块加载，时间戳依然“1970/1/1 8:00:00”。但是“dump_dumpfve.sys”没有了，快捷方式添加后缀的行为依然存在。自行创建的两个空文件都在 “C:\Windows\System32\Drivers\”目录下。驱动启动模式？？？

pkneteasy 2018-03-20

打赏
举报

网络安全模式下依旧

zara 2018-03-20

打赏
举报

两个 proc 打头的是上面提及的使用到的 procmon 和 procexp 的，应该没有问题。
几个 k 打头的度是 ksafe 的吧，金山杀毒的？看你上面的信息，好像系统的 mse 启用了，这个，金山的还是清理了吧。
dump_... 什么的，看你提供的帖子里，简直就是它了，可能是重新封装了的；把它的驱动文件删除到回收站，或驱动启动模式为“禁用”试试？如果还是会出现驱动文件，或恢复正常启动模式，就是有其它的保护了。

pkneteasy 2018-03-20

打赏
举报

见7楼，现在还是找不到问题，有办法这固定的任务栏这个操作中断下？一步步查？

zara 2018-03-19

打赏
举报

ProcessExplorer 不管吧；可以试试 Procmon.exe 来监控 Path 包含 Quick Launch 的操作，看哪个进程有写入操作的

PALadinWIC 2018-03-19

打赏
举报

你用Sysinternals里的ProcessExplorer检查一下句柄，看看哪个进程在抓这个路径的句柄的。

pkneteasy 2018-03-19

打赏
举报

dump_dumpfve.sys	0xfffff8800196b000	0x13000	C:\Windows\System32\Drivers\dump_dumpfve.sys			1970/1/1 8:00
kmodurl64.sys	0xfffff88002fd4000	0x22000	c:\program files (x86)\ksafe\kmodurl64.sys			1970/1/1 8:00
kisknl.sys	0xfffff88003640000	0x52000	C:\Windows\system32\drivers\kisknl.sys			1970/1/1 8:00
PROCMON23.SYS	0xfffff880036b0000	0x1a000	C:\Windows\system32\Drivers\PROCMON23.SYS			1970/1/1 8:00
ksfmonsys64.sys	0xfffff88003d84000	0x8000	c:\program files (x86)\ksafe\ksfmonsys64.sys			1970/1/1 8:00
ksapi64.sys	0xfffff88003dea000	0x12000	C:\Windows\system32\drivers\ksapi64.sys			1970/1/1 8:00
PROCEXP152.SYS	0xfffff8800bbf0000	0xc000	C:\Windows\System32\Drivers\PROCEXP152.SYS			1970/1/1 8:00

以上为 System 下可疑的模块，文件均不存在！但是感觉非常像 https://bbs.kafan.cn/thread-2041256-1-1.html 这里讲的百变导航变种。但是危害没有它那么大，仅是偷改位于任务栏上的 Chrome 和 IE 快捷方式。 System 下的模块列表 https://pan.baidu.com/s/1bUEZRs7evcJFeUd1EnGPXw

zara 2018-03-19

打赏
举报

在 win7 下试了下，无论是固定到任务栏，还是对已固定的修改“属性”添加类似的参数，都没有 System 进程的什么事儿，只是 explorer.exe 在忙乎；MsMpEng.exe 说是 mse 的个程序，算正常的吧。
System 把原来的 2KB 的 lnk 文件扩大到了 4KB 的样子，这也符合添加那些尾巴的表现。所以，应该就是这个操作在作祟了。这个进程里的，就是些驱动/内核服务的项了，所以，应该从这方面入手；用上面提及的 ProcessExplorer 选择了 System 进程，查看下面窗口显示出来的模块，有什么可疑的，尤其是公司名上有问题的，比如看着莫名其妙的或明显不是微软或几大驱动公司的。

pkneteasy 2018-03-19

打赏
举报

用 Process Monitor 监控包含 “Quick Launch\User Pinned\TaskBar” 路径，进行 “将此程序从任务栏解锁” 和 "将此程序固定的任务栏" 操作时，只有 exolorer.exe,MsMpEng.exe,System 三个进程对其有操作。
Process Monitor 保存的文件
https://pan.baidu.com/s/1npcWDNY-VYczTZGXfphoUQ
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
直接将复制一个 Chrome 快捷方式到路径下，不会添加网站后缀。
只有在使用 “将此程序从任务栏解锁” 和 "将此程序固定的任务栏" 操作，才会添加网站后缀，应该是劫持了这两个操作，如何找到它？