V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
vtoexshan
V2EX  ›  问与答

6789.com 篡改所有浏览器,求破

  •  
  •   vtoexshan · 2016-06-16 20:56:44 +08:00 · 18967 次点击
    这是一个创建于 3112 天前的主题,其中的信息可能已经有所发展或是发生改变。
    IE.CHROME ,搜狗无一幸免,,,,,重新安装,刚开始还行,过上几分钟, 6789 就爬上身了,,,, 360 用过了无效,,,,搜了一下,已经有人在 360 报警,可惜尚无解药
    55 条回复    2016-06-17 23:54:33 +08:00
    jhaohai
        1
    jhaohai  
       2016-06-16 21:02:12 +08:00 via iPhone
    居然在 360 报警,不知道流氓头子是谁嘛
    Gua
        2
    Gua  
       2016-06-16 21:03:24 +08:00
    我一般是 win10 一键还原~
    vtoexshan
        3
    vtoexshan  
    OP
       2016-06-16 21:04:45 +08:00
    http://bbs.guanjia.qq.com/forum.php?mod=viewthread&tid=4679493&page=1
    http://bbs.360safe.com/thread-7041630-1-1.html
    @jhaohai

    看,就是这里,,, 6789 。 com 这是哪路神仙搞得嘛,何苦呢,能折腾几天
    Laynooor
        4
    Laynooor  
       2016-06-16 21:32:43 +08:00
    是直接访问 6789 这个网站后,就被篡改了么?

    开了平时用的 Windows 10 虚拟机,里面只装了 QQ ,百度云什么的。

    使用 Edge 、 Google Chrome 、猎豹浏览器访问后均无被篡改的情况。
    Laynooor
        5
    Laynooor  
       2016-06-16 21:34:14 +08:00
    感觉应该是电脑上什么软件纂改的…单纯访问不可能有纂改的黑科技吧…
    tobyxdd
        6
    tobyxdd  
       2016-06-16 21:36:36 +08:00
    不会是 ISP 劫持吧
    vtoexshan
        7
    vtoexshan  
    OP
       2016-06-16 21:38:28 +08:00
    @Laynooor 你说的有可能,已经有两天了,,,,但记不起来做了什么操作 or 装了什么软件,,,好像装了个 mactype , wincap ,后面就出现了,,,现在怎么清理,感觉挺顽固,重装了 chrome ,,新装了搜狗,,很快就被上身了,,,进程里面也看不出异样
    vtoexshan
        8
    vtoexshan  
    OP
       2016-06-16 21:49:48 +08:00
    @tobyxdd 经提醒,查看了网络连接 dns 被改 123.125.81.6 ,查路由器 dns 被改 61.146.155.184 ,等下 继续观察,,,,冷汗
    vtoexshan
        9
    vtoexshan  
    OP
       2016-06-16 21:55:08 +08:00
    dns 改好了,还是老样子,,,
    helloSwift
        10
    helloSwift  
       2016-06-16 22:03:59 +08:00
    你是安装了什么软件吧,不可能访问了这个网址后就被篡改的
    vtoexshan
        11
    vtoexshan  
    OP
       2016-06-16 22:13:27 +08:00
    @helloSwift 没有主动访问过这个网址,,,至于装软件,现在从卸载里面看不出有问题软件存在啊,当然流氓肯定要隐藏起来的
    xia0chun
        12
    xia0chun  
       2016-06-16 22:14:47 +08:00   ❤️ 1
    Gua
        13
    Gua  
       2016-06-16 22:22:19 +08:00
    一般情况是安装破解游戏流氓的。
    vtoexshan
        14
    vtoexshan  
    OP
       2016-06-16 22:22:54 +08:00
    @xia0chun

    主页篡改举报
    当您发现浏览器打开不是 6789.com 时,请及时与我们取得联系,我们将第一时间联系您并帮您解决
    联系 QQ : 1287880734 点击这里给我发消息


    囧,人家是专门改成 6789 的服务
    vtoexshan
        15
    vtoexshan  
    OP
       2016-06-16 22:25:30 +08:00
    @Gua 在 6.月 12 日确实装过唯一一款游戏,刚刚已经删了,还是不行啊,找不出流氓的文件夹,,,, v 站贴图也不方便看任务管理器
    Gua
        16
    Gua  
       2016-06-16 22:37:30 +08:00
    @vtoexshan 重装系统 万事大吉
    rssf
        17
    rssf  
       2016-06-16 22:38:56 +08:00 via iPhone
    format c :
    XianZaiZhuCe
        18
    XianZaiZhuCe  
       2016-06-16 22:41:17 +08:00
    mac 保平安
    clino
        19
    clino  
       2016-06-16 22:42:27 +08:00 via Android
    换系统
    isnowify
        20
    isnowify  
       2016-06-16 22:43:06 +08:00 via iPad
    还原点有做吗?
    正常 install 都会给做的
    helloSwift
        21
    helloSwift  
       2016-06-16 22:45:21 +08:00
    @vtoexshan 重装吧,如果是我,我肯定重装,心里好受点
    vtoexshan
        22
    vtoexshan  
    OP
       2016-06-16 22:58:56 +08:00
    @Gua
    @rssf
    @XianZaiZhuCe
    @clino
    @isnowify
    @helloSwift 还原早关了,哎,,,再等几天,看看有哪位神仙有办法,,,,, ps ,路由器和连接里面 dns 被改,算严重的安全问题吗,可怕吗?以前都是听说,这算头次遇见了
    bdbai
        23
    bdbai  
       2016-06-16 23:03:34 +08:00 via Android
    @vtoexshan 改完 DNS 要 ipconfig /flushdns
    holoto
        24
    holoto  
       2016-06-16 23:07:25 +08:00
    用 360 系统急救箱扫描下 就 OK 了
    fangxing204
        25
    fangxing204  
       2016-06-16 23:07:50 +08:00 via Android
    改下 host 行吗
    vtoexshan
        26
    vtoexshan  
    OP
       2016-06-16 23:30:43 +08:00
    @holoto 昨天都扫了,没用。。。。是要在安全模式下扫吗
    @fangxing204 治标不治本啊
    luckyduck
        27
    luckyduck  
       2016-06-16 23:39:09 +08:00
    这个和浏览器没有关系,是因为覆盖了你系统的 socket dll 文件,所以任何应用(包括你写的程序)发出的 http 请求都可以被拦截。
    lililala
        28
    lililala  
       2016-06-16 23:41:04 +08:00
    重新下别的版本的系统。
    yeyeye
        29
    yeyeye  
       2016-06-17 01:10:55 +08:00
    autoruns
    Balthild
        30
    Balthild  
       2016-06-17 01:48:47 +08:00 via Android
    @jhaohai 让大流氓来治小流氓还是有点用的
    nvidiaAMD980X
        31
    nvidiaAMD980X  
       2016-06-17 07:04:01 +08:00 via Android
    不要相信任何锅内的安全软件!!!!
    dixyes
        32
    dixyes  
       2016-06-17 07:16:14 +08:00 via Android
    这是要 sfc 和 dism 一起来一下?( win7+
    Halry
        33
    Halry  
       2016-06-17 07:32:03 +08:00 via Android
    肯定是电脑里面还有流氓才会这样子的,你试下别的国外杀毒软件呀。
    360 ,毒霸这些的只要交了保护费你的 adware 就能通过
    ThreeBody
        34
    ThreeBody  
       2016-06-17 07:50:07 +08:00 via Android
    @vtoexshan 这个情况明显是有进城守护的,各位流氓都查不出,以前 xp 有 icesword 就很方便直接就能查看各种挂钩,现在不知道有哪些了
    你的路由 dns 被修改,一般都是因为路由默认密码没改导致的,不要用默认密码,不要用简单密码就好
    dashnier
        35
    dashnier  
       2016-06-17 08:06:04 +08:00 via Android
    改注册表锁定主页,更改注册表拥有者权限,更改只读。确认快捷方式路径后面有没有奇怪的链接。
    以上,
    guizer
        36
    guizer  
       2016-06-17 08:36:23 +08:00 via iPhone
    临时解决 改 hosts ,但是 ss 一类的不走 hosts ,还是重装简单。
    lechain
        37
    lechain  
       2016-06-17 08:39:52 +08:00 via Android
    Linux 大法好…曾经被 Windows 上的浏览器流氓劫持搞得耐心尽失…后来这成为我放弃 Windows 系统的根本原因之一
    youxiachai
        38
    youxiachai  
       2016-06-17 10:28:31 +08:00
    玩破解了吧...?
    vtoexshan
        39
    vtoexshan  
    OP
       2016-06-17 10:48:20 +08:00
    @ThreeBody 路由用户名确是默认的,密码改过 9 位纯字母强度不足…………冰刃以前用过,看了下好几年都没更新了

    @youxiachai 运行过唯一一个游戏,不用安装那种,弹出来一个运行界面,有打补丁按钮,运行按钮, xx 按钮。。。。

    各位大神,现在怎么从进程倒查到文件呢
    Midnight
        40
    Midnight  
       2016-06-17 11:18:10 +08:00   ❤️ 1
    到注册表里搜索下,我昨天也发现被一个网站篡改了注册表,然后跳转到搜狐的一个导航网站去了
    icedx
        41
    icedx  
       2016-06-17 11:24:17 +08:00 via Android
    youxiachai
        42
    youxiachai  
       2016-06-17 11:45:47 +08:00
    @vtoexshan 原来是这种啊....我建议你不用折腾了....备份重装吧....
    vtoexshan
        43
    vtoexshan  
    OP
       2016-06-17 12:22:38 +08:00
    @Midnight 无脑给分
    Midnight
        44
    Midnight  
       2016-06-17 13:15:14 +08:00
    @vtoexshan 569123.com ,被跳转到 web.sogou.com , IE 中招 打开自动加载,并非设置了首页
    BlueFly
        45
    BlueFly  
       2016-06-17 13:29:45 +08:00
    没有一个人说到点子上,不就是你安装软件时候,夹带了“大礼包”给你。

    卸载流氓软件、卸载病毒、卸载木马,就是了

    随便找个小软件,扫描一次系统的情况的 Log (包括各启动项、各服务项、各计划任务、文件关连等等),把 Log 帖出来,自然就一清二楚。
    BlueFly
        46
    BlueFly  
       2016-06-17 13:35:34 +08:00
    没有一个人说到点子上,不就是你安装软件时候,夹带了“大礼包”给你。

    卸载流氓软件、卸载病毒、卸载木马,就是了

    随便找个小软件,扫描一次系统的情况的 Log (包括各启动项、各服务项、各计划任务、文件关连等等),把 Log 帖出来,自然就一清二楚。
    ThreeBody
        47
    ThreeBody  
       2016-06-17 14:28:50 +08:00 via Android
    @vtoexshan 现在冰刃开发者被 360 招了,也就停止更新了,后来说出了另外一个,但是我运行会蓝屏就算了。
    你把那个游戏的下载地址发一下,我有空去试试
    kokutou
        48
    kokutou  
       2016-06-17 14:31:44 +08:00
    autoruns 查一下就行了。。。
    vtoexshan
        49
    vtoexshan  
    OP
       2016-06-17 15:17:05 +08:00
    @BlueFly 用啥软件记录?
    @kokutou 已下,等晚上一战
    @ThreeBody 记不清从哪里下的游戏,等我晚上找找看
    Fedor
        50
    Fedor  
       2016-06-17 15:31:11 +08:00
    注册表、启动项、服务、相关目录、可疑进程
    清理之
    nullp
        51
    nullp  
       2016-06-17 18:30:52 +08:00
    注册表 扫描应该无果的 因为都是做跳转的。用 autoruns 扫下 或者 SpybotSDPortable.exe
    cfans1993
        52
    cfans1993  
       2016-06-17 19:47:48 +08:00
    1.两个月前中了小马激活,主要是 WMI 事件(定时给你的主页设置一下)
    乌云上找的详细在这里 http://drops.wooyun.org/papers/15075

    2.当时还比较简单,删除 c:/window/OEM.exe
    用组策略锁定主页(组策略的锁定优先级很高) http://jingyan.baidu.com/article/d3b74d64a150611f77e6092c.html

    3.然后用 WMI 工具查找那个定时更改主页的 WMI 事件,删除掉.由于组策略的原因已经没法再更改我们自己设置的主页,但不删除的话,快捷方式还会被加个小尾巴
    vtoexshan
        53
    vtoexshan  
    OP
       2016-06-17 23:27:22 +08:00
    搞定了,装 360 离线急救箱,急救箱杀死一个 sys ,手动在 drivers 下看到一个 16 号创建的 sys 不顺眼,粉碎

    然后,现在就清净了,,,,,,希望不再复发
    vtoexshan
        54
    vtoexshan  
    OP
       2016-06-17 23:27:58 +08:00
    @kokutou 看了看,不知道怎么分析,,囧
    aprikyblue
        55
    aprikyblue  
       2016-06-17 23:54:33 +08:00 via Android
    开注册表访问监控,浏览器相关表项
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1004 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 20:54 · PVG 04:54 · LAX 12:54 · JFK 15:54
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.