如何找到这个修改主页的幕后黑手？？？？已经全盘杀毒了。

chinaren12

【1】2017-11-26 13:07:15,系统防御,注册表保护,svchost.exe触犯注册表防护规则, 已阻止

操作者：C:\Windows\SysWOW64\svchost.exe
命令行：C:\Windows\SysWow64\svchost.exe -k LocalServiceNetwork
风险动作：修改IE首页项
目标注册表：HKEY_USERS\S-1-5-21-2011370433-181351075-3035323011-500\Software\Microsoft\Internet Explorer\Main\Start Page
操作类型：写入
数据内容：https://www.2345.com/?37817-0010
用户操作：已阻止

这个修改主页的程序是找到了。

但是，但是，但是我感觉这个svchost.exe不是病毒呀。万一删除系统崩溃了呢？实在是无法找到修改主页的脚本所在呀！！！

这个修改系统主页的黑手肯定是通过其他方式修改的。

求各位指导下。谢谢了。

每天开机第一次会有提示。

nttwqz

有全盘杀毒那一会儿，都够重装系统好几遍了！

lintrainwy

试试在资源监视器中，勾选，svchost.exe（LocalServiceNetwork），查看关联的模块里面，那个dll 比较可疑，看一下 dll 的签名，应该能找出来。

我这里因为是wifi宽带拨号，只能看到svchost.exe（LocalServiceNoNetwork）

SGZOU

又是狗日的2345在兴风作浪！

infox

用WMITools吧

23456

有兴趣看看

l3429900

comzhongwy 发表于 2017-11-26 19:11
试试在资源监视器中，勾选，svchost.exe（LocalServiceNetwork），查看关联的模块里面，那个dll 比较可疑， ...

win自带的功能，还没有用过了，谢谢

eastmz

l3429900 发表于 2017-11-26 22:45
win自带的功能，还没有用过了，谢谢

这也没用过，这下学习了！

chinaren12

SGZOU 发表于 2017-11-26 19:11
又是狗日的2345在兴风作浪！

这个不一定是2345的错，有些是推广软件作者的锅呀！！！！

chinaren12

comzhongwy 发表于 2017-11-26 19:11
试试在资源监视器中，勾选，svchost.exe（LocalServiceNetwork），查看关联的模块里面，那个dll 比较可疑， ...

这个方法好，我试试去。看看是哪个进程在那里修改主页。

zitiano

恢复系统不过几分钟的事情

SGZOU

chinaren12 发表于 2017-11-27 08:51
这个不一定是2345的错，有些是推广软件作者的锅呀！！！！

这样推广适得其反，2345影响极坏！

桑人浪子

http://bbs.pcbeta.com/viewthread-1734134-1-4.html
抓“虫”---主页被WMI方法劫持的解救方法和工具

请参考此文！

tt8023yy

还是重装一下，论坛里那么多干净的PE……

mububei

推广方法烦人！

gblgbl

怎么不用用大数字卫士？我一直在用它，没有发生楼主的情况。

chinaren12

桑人浪子 发表于 2017-11-27 14:39
http://bbs.pcbeta.com/viewthread-1734134-1-4.html
抓“虫”---主页被WMI方法劫持的解救方法和工具

已经用此法试过，未发现异常了。

sp_star

看下"计划和任务"有没有自动执行的脚本。

wondaol

估计是IE 或IE 内核的浏览器吧，曾在别人的电脑上遇到过这事，是个脚本作怪

桑人浪子

chinaren12 发表于 2017-11-29 19:59
已经用此法试过，未发现异常了。

https://msdn.itellyou.cn/到这里下载个原版系统，安装好所有软件后，备份系统，以后有问题就恢复，一劳永逸！
我的电脑一般把各种系统安装好后备份，以后想玩啥系统，用U启PE里恢复到相应的备份系统，非常方便节约时间。

曾经沧海

SGZOU 发表于 2017-11-27 11:34
这样推广适得其反，2345影响极坏！

非常赞成，强行推广是一种高度自私且蠢猪一样的思维。不会有好结果。当年周红蚁的3721耍流氓，覆灭后又搞360，流氓本性固态萌发。现在如何？正在走向衰败。

l3429900

你试试进程注入如何解绑，驱动之家还是论坛有软件，可以搜索