解决打开百度被劫持到带尾巴tn=21002492 |
您所在的位置:网站首页 › 网页劫持什么意思 › 解决打开百度被劫持到带尾巴tn=21002492 |
今天给某位网友远程清理流氓软件的时候,流氓软件都已经清理,浏览器的问题扩展等都解决了。但总有一个问题,设置浏览器主页为百度打开时会跳转到: https://www.baidu.com/?tn=21002492_34_hao_pg还有访问360搜索,劫持到https://www.so.com/?src=lm&ls=sm2142568&lm_extend=ctype:31 同时用火狐浏览器打开百度时,会提示: Firefox 检测到潜在的安全威胁,因此没有继续访问 www.baidu.com。若您访问此网站,攻击者可能会尝试窃取您的密码、电子邮件、信用卡等信息。 用360官网最新的独立版急救箱强力模式两遍没有解决。查看drivers目录发现可疑文件mspci.sys(流氓软件小白日历会捆绑这个文件)。 但是这个文件的数字签名是:Microsoft Windows。 确实是系统文件。上传到VirusTotal扫描,所有杀软报安全。Autoruns软件里没看到mspci驱动(被识别成windows条目默认隐藏了)。 所以我以为某些版本windows可能有这个文件(印象中有好几位远程过的网友是这样,我都因为这个原因放弃对mspci.sys检查)。这回知道是病毒用win7的volsnap.sys伪装的,跟病毒文件大小一致。
给网友远程弄了好久,都没解决劫持到tn=21002492_34_hao_pg网页的问题。最后无意间又看到mspci.sys,怀疑是这个文件的问题。 给网友装了个PE,进PE里用我的软件ScanSrv(AutoConfigURL被固定那篇文章里的工具)检查发现mspci.sys数字签名变回:深圳市竞天石网络技术有限公司)。禁止启动后重启,问题解决! 虚拟机里测试了下,发现管理员命令行cmd执行: sc delete mspci重启后也能解决问题。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |