原创内容,转载请注明出处: https://www.myzhenai.com.cn/post/2497.html https://www.myzhenai.com/thread-17984-1-1.html
关键词: 手动检测 恶意软件 浏览器首页劫持 浏览器劫持
火绒https://www.huorong.cn/

按下键盘上的win(旗标键)+R键 打开运行对话框 在对话框里输入
regedit 注册表
msconfig 启动项管理工具
gpedit.msc 组策略
inetcpl.cpl IE选项

控制面板--管理工具--服务
控制面板-管理工具--任务计划程序

1:注册表
2:启动项
3:注入模块
4:host文件
5:驱动文件
6:浏览器加载项目
7:Dns劫持
8:服务项目
9:浏览器配置文件
10:计划任务
11:桌面快捷方式添加命令参数

 

注册表
一般从编程的思路上来说，劫持浏览器的行为一般是通过更改系统的一些配置，有时候恶意软件是通过更改注册表里的相关键值来实现浏览器劫持，因为浏览器在启动的时候会自动去读取相关的注册表键值打开主页。所以很多恶意软件也会更改注册表的相关键值来实现劫持.我们可以打开注册表，然后点击工具栏上的 编辑\查找 在查找目标文本框里输入当前被劫持到的首页的域名，F3键可以继续搜索下一个。然后将搜索出来的项目或键值的值更改，即把包含这个域名的键值的文本值改为你需要的地址。如果提示没有权限更改的时候，请用Administrotor账户登录，或者在该注册表项目上点击右键\权限 然后将当前用户添加到此权限用户组里即可.

启动项
启动项也会为很多种，一般一个程序或模块要随机启动的话，首先是将行为写入驱动文件(.sys文件)，然后驱动文件会在系统加载之前被先加载，而我们要查杀恶意驱动文件的话，只能是在安全模式下进行删除，正常模式下是不能删除驱动文件的，强行删除的话会造成蓝屏或系统崩溃。其次，恶意程序也可以将自身行为写成一个模块(.dll文件)，并将这个模块注入到其他进程之中，那么其他进程启动的时候就会把这个模块也启动。例如Explorer.exe，这是系统重要进程，如果这个进程没有启动的话，桌面是不会显示的。所以很多恶意软件和病毒会注入这个进程，我们要查看进程加载的模块，只能是借助一些其他程序，比如火绒扩展软件中的火绒剑，或者PowerTool或XT等。还有就是注册表启动了，因为系统启动的过程中会读取注册表的一些键值，根据用户配置来启动一些软件，一些正常的软件会将自己的主程序路径写入注册表启动键值中。开始菜单里的启动项也是会被写入注册表的。系统的计划任务程序也是可以定时启动文件的。


注入模块
上面我们说了，恶意软件或病毒会把自己的行为写成.dll库文件，然后将这个模块注入到其他正常进程之中，常见的被注入的模块是Explorer.exe IInternetExplorer.exe这两个进程，我们可以用火绒剑，或者PowerTool或XT等软件显示这些进程所有加载模块，如果看到有异常的模块我们可以在安全模式下进行删除，不过删除前需要确认模块的路径，因为输入法，显卡，声卡，安全软件等很多正常程序也会把自身模块注入到其他进程。

host文件
打开系统当前盘符(c:)\工具\文件夹选项\隐藏受保护的操作系统文件(去勾)\显示隐藏的文件、文件夹和驱动器(选中)\Windows\System32\drivers\etc\hosts 用记事本打开这个文件，然后看一看里边有没有恶意的网址信息，用的话就将该行删除，如果提示没有权限删除的话，在hosts文件上右键\属性\安全\高级\更改权限 将当前用户名添加进权限项目里。

驱动文件
如何判断一个驱动文件是不是恶意文件或病毒文件，我们只能是使用杀毒软件或安全软件扫描系统，根据扫描结果来判断并在安全模式下删除，因为系统里的驱动文件实在太多了，这里不得不说一下国内的软件行业，一个播放器，一个聊天工具，一个非安全性能的软件也非得写驱动来加载，实在不知道他们想干什么。

浏览器加载项
浏览器加载项一般是IInternetExplorer浏览器里会加载的一些ActiveX控件，基于IInternetExplorer内核的浏览器会受影响，非IInternetExplorer内核的浏览器一般不会受此影，我们可以通过查看当前加载的项目，认为不需要加载的可以用右键\禁用，这里是可以优化一些的加载项目提升浏览器运行速度的。

Dns劫持
说到这个我们有时候就无能为力了，因为这个有时候不是我们本地电脑和系统的原因，而是ISP(宽带运营商)端口方面进行的劫持，当然，我们也可以通过改变我们本机的DSN地址来看看是不是能规避劫持。
屏幕右下角\托盘图标(网络拨号)\右键(打开网络和共享中心)\更改适配器设置\本地连接in当前拨号连接\Internet协议版本4\属性\使用下面的DNS服务器地址\分别填入首选DNS服务器地址和备用DNS服务器地址\确定 如果更换了本地DNS服务器地址还没有效果的话，请检查你的hosts文件，还不能解决问题的话，到工信部官方网站去投诉你现在的宽带运营商。

服务项目
很多朋友经常说有些程序不能正常卸载或进程不能关闭，其实他们都忽略了系统的另一个功能，服务项目(通过svchost.exe来加载)，服务项目比模块和进程的权限要高一点，因为它的启动顺序要比普通进程或模块高，一般是驱动启动后就到服务项目启动，所以我们也要检查我们的服务项目，看看有没有异常的服务项目随机启动，有的话我们可以通过该服务项目上右键\禁止或手动，然后停止该服务项目。删除服务项目可以用命令行来删除，”开始““运行”输入cmd回车，打开cmd。输入sc可以看到使用方法。sc delete “服务名” （如果服务名中间有空格，就需要给服务名前后加半角的双引号）,服务名称不是显示名称。打开“服务”右键“属性”查看。系统自带服务，不要删除。

浏览器配置项目
我之前在卡饭论坛上看过一篇关于浏览器首页被劫持的解决方案，这个恶意软件有点特别，它是将首页地址写入到了浏览器配置项目里去了，一般是.ini/.dat/.xml等后缀名的文件,我们可以通过更改文件夹选项中 文件夹选项\搜索\始终搜索文件名和内容(此过程可能需要几分钟)\选中\确定 然后显示所有隐藏受保护文件和显示所有文件，在c:盘中的搜索框里搜索被劫持的首页地址，然后打开搜索到的文件，将该地址删除或更改为自己需要的首页的地址，保存该文件即可。


计划任务程序
有很多恶意软件或病毒会往计划任务程序里添加项目，进而定时运行或监控，这个也是很多朋友在查杀病毒或恶意软件的时候没有注意的地方，我们可以通过检查计划任务里的项目，看看哪些是可疑的，可以停止或删除该项目，当然，我们也可以借助一些程序来进行检查，如360安全卫士 火绒剑 PowerTool等.

桌面快捷方式添加命令参数
这个作法现在已经很少有恶意软件会这么做了，但也不排除一些恶意软件会这样做，也许该作者二呢，我们可以在该快捷方式图标上右键\属性\目标in起始位置中看一看，有没有特殊的符号，如果有那么就是被天加了命令行参数了。我们可以将特殊符号后边的内容删除掉。

写在最后:我们只需要了解了这些，我们大致就可以了解一个程序的行为，大致上也能检查出问题到底出在哪里，然后我们就可以手动查杀或清除恶意软件给我们带来的麻烦和困扰。至于说为什么我要推荐火绒剑，那是因为这个程序的直观性比较好，功能性强大，能很好的进行检测和排查。在手动检查之前，需要先了解如何进入安全模式，升级你的安全软件病毒库至最新版本，关闭你的系统还原功能，备份你桌面和用户目录里的重要文件到基他非系统分区的盘里。然后进入安全模式全盘查杀，可以将查杀到的文件在安全模式里删除，如果Explorer.exe 这个进程被感染和替换了，你可以拷贝一个同样系统的该文件，在安全模式下进行替换或用winpe进行替换。