无忧启动论坛

标题: 如何找到这个修改主页的幕后黑手？？？？已经全盘杀毒了。 [打印本页]

作者: chinaren12 时间: 2017-11-26 18:25
标题: 如何找到这个修改主页的幕后黑手？？？？已经全盘杀毒了。
【1】2017-11-26 13:07:15,系统防御,注册表保护,svchost.exe触犯注册表防护规则, 已阻止

操作者：C:\Windows\SysWOW64\svchost.exe
命令行：C:\Windows\SysWow64\svchost.exe -k LocalServiceNetwork
风险动作：修改IE首页项
目标注册表：HKEY_USERS\S-1-5-21-2011370433-181351075-3035323011-500\Software\Microsoft\Internet Explorer\Main\Start Page
操作类型：写入
数据内容：https://www.2345.com/?37817-0010
用户操作：已阻止

这个修改主页的程序是找到了。

但是，但是，但是我感觉这个svchost.exe不是病毒呀。万一删除系统崩溃了呢？实在是无法找到修改主页的脚本所在呀！！！

这个修改系统主页的黑手肯定是通过其他方式修改的。

求各位指导下。谢谢了。

每天开机第一次会有提示。

作者: SGZOU 时间: 2017-11-26 19:11
又是狗日的2345在兴风作浪！

作者: lintrainwy 时间: 2017-11-26 19:11
试试在资源监视器中，勾选，svchost.exe（LocalServiceNetwork），查看关联的模块里面，那个dll 比较可疑，看一下 dll 的签名，应该能找出来。

我这里因为是wifi宽带拨号，只能看到svchost.exe（LocalServiceNoNetwork）

作者: infox 时间: 2017-11-26 22:06
用WMITools吧

作者: 23456 时间: 2017-11-26 22:39
有兴趣看看

作者: l3429900 时间: 2017-11-26 22:45

comzhongwy 发表于 2017-11-26 19:11
试试在资源监视器中，勾选，svchost.exe（LocalServiceNetwork），查看关联的模块里面，那个dll 比较可疑， ...

win自带的功能，还没有用过了，谢谢

作者: eastmz 时间: 2017-11-27 08:21

l3429900 发表于 2017-11-26 22:45
win自带的功能，还没有用过了，谢谢

这也没用过，这下学习了！

作者: chinaren12 时间: 2017-11-27 08:51

SGZOU 发表于 2017-11-26 19:11
又是狗日的2345在兴风作浪！

这个不一定是2345的错，有些是推广软件作者的锅呀！！！！

作者: chinaren12 时间: 2017-11-27 08:52

comzhongwy 发表于 2017-11-26 19:11
试试在资源监视器中，勾选，svchost.exe（LocalServiceNetwork），查看关联的模块里面，那个dll 比较可疑， ...

这个方法好，我试试去。看看是哪个进程在那里修改主页。

作者: nttwqz 时间: 2017-11-27 09:31
有全盘杀毒那一会儿，都够重装系统好几遍了！

作者: zitiano 时间: 2017-11-27 10:47
恢复系统不过几分钟的事情

作者: SGZOU 时间: 2017-11-27 11:34

chinaren12 发表于 2017-11-27 08:51
这个不一定是2345的错，有些是推广软件作者的锅呀！！！！

这样推广适得其反，2345影响极坏！

作者: 桑人浪子 时间: 2017-11-27 14:39
http://bbs.pcbeta.com/viewthread-1734134-1-4.html
抓“虫”---主页被WMI方法劫持的解救方法和工具

请参考此文！

作者: tt8023yy 时间: 2017-11-27 14:57
还是重装一下，论坛里那么多干净的PE……

作者: mububei 时间: 2017-11-27 16:31
推广方法烦人！

作者: gblgbl 时间: 2017-11-28 08:18
怎么不用用大数字卫士？我一直在用它，没有发生楼主的情况。

作者: chinaren12 时间: 2017-11-29 19:59

桑人浪子发表于 2017-11-27 14:39
http://bbs.pcbeta.com/viewthread-1734134-1-4.html
抓“虫”---主页被WMI方法劫持的解救方法和工具

已经用此法试过，未发现异常了。

作者: sp_star 时间: 2017-11-29 20:33
看下"计划和任务"有没有自动执行的脚本。

作者: wondaol 时间: 2017-11-30 10:37
估计是IE 或IE 内核的浏览器吧，曾在别人的电脑上遇到过这事，是个脚本作怪

作者: 桑人浪子 时间: 2017-12-6 13:26

chinaren12 发表于 2017-11-29 19:59
已经用此法试过，未发现异常了。

https://msdn.itellyou.cn/到这里下载个原版系统，安装好所有软件后，备份系统，以后有问题就恢复，一劳永逸！
我的电脑一般把各种系统安装好后备份，以后想玩啥系统，用U启PE里恢复到相应的备份系统，非常方便节约时间。

作者: 曾经沧海 时间: 2017-12-7 06:07

SGZOU 发表于 2017-11-27 11:34
这样推广适得其反，2345影响极坏！

非常赞成，强行推广是一种高度自私且蠢猪一样的思维。不会有好结果。当年周红蚁的3721耍流氓，覆灭后又搞360，流氓本性固态萌发。现在如何？正在走向衰败。

作者: l3429900 时间: 2017-12-16 01:00
你试试进程注入如何解绑，驱动之家还是论坛有软件，可以搜索

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)