V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
prophetstj
V2EX  ›  问与答

[求助] 新装机 chrome 进程被 2345 等劫持

  •  
  •   prophetstj · 2018-11-23 10:31:08 +08:00 · 3255 次点击
    这是一个创建于 2184 天前的主题,其中的信息可能已经有所发展或是发生改变。

    IT 给新装一台电脑, 自己正式渠道装了 chrome,打开发现被主页劫持了。查了一些东西,发现更换 chrome.exe 文件名可以绕过 也就是可以推测是进程名劫持

    求助,如何查杀?

    第 1 条附言  ·  2018-11-23 14:59:52 +08:00
    干,IT 给重装的我又不好意思打脸·········
    我自己肯定我告诉你啊
    第 2 条附言  ·  2018-11-23 19:17:51 +08:00
    已被火绒圈粉 。非常给力
    火绒小哥 teamview 远程帮助解决问题(可以百度到的常见方法本人已经全部尝试过)
    29 条回复    2018-11-27 20:15:10 +08:00
    px1396
        1
    px1396  
       2018-11-23 11:32:25 +08:00
    你是不是用了 老毛桃 之类的 PE ?
    helionzzz
        2
    helionzzz  
       2018-11-23 11:33:58 +08:00
    我之前是直接重新又装了一次系统 比自己慢慢找快多了。。
    ClutchBear
        3
    ClutchBear  
       2018-11-23 12:25:51 +08:00
    重装系统啊
    msdn i tell you
    yksoft1
        4
    yksoft1  
       2018-11-23 12:31:53 +08:00
    你用的 PE 有问题吧。装机要么用 M$官方的安装镜像,要么用自制或者已知安全的 PE,自己用 dism 那一大堆命令写 WIM
    XinLake
        5
    XinLake  
       2018-11-23 12:34:32 +08:00 via Android
    这个问题来技术社区问就对了。一句话:别用非官方的。
    lmmortal
        6
    lmmortal  
       2018-11-23 12:35:26 +08:00 via iPhone
    看你说的似乎是映像劫持 火绒剑里查一下
    kawkeye
        7
    kawkeye  
       2018-11-23 12:38:57 +08:00
    官方原版镜像,利用软谍通放进 U 盘,设置 U 盘为第一启动即可,切勿使用 PE 来做,因为你不知道它往里面放了多少自己的东西.
    vissssa
        8
    vissssa  
       2018-11-23 12:39:40 +08:00
    360 可以解决 删除那个文件
    des
        9
    des  
       2018-11-23 12:41:33 +08:00 via Android
    用 cmd 或者任务管理器打开扣肉试试??
    XinLake
        10
    XinLake  
       2018-11-23 12:42:32 +08:00 via Android
    不安全、脏乱差,重装算了。
    mengyang624
        11
    mengyang624  
       2018-11-23 12:43:29 +08:00
    @kawkeye #7 软谍通 是什么……
    我反正要么微 PE,要么用微软的 Windows7-USB-DVD-tool.exe
    kawkeye
        12
    kawkeye  
       2018-11-23 12:56:11 +08:00
    @mengyang624 这是自制 PE 的做法, https://cn.ultraiso.net/xiazai.html 一般来说系统重装频率不高的话,试用即可,有能力可以购买.你的问题看来无非使用非官方的镜像,或者是"微 PE"本身的问题,或者是前两者无关,是你安装了 2345 系列相关的产品,朋友,谨防国内数字产品呀.
    kawkeye
        13
    kawkeye  
       2018-11-23 12:58:42 +08:00
    至于如何查杀,可以参考#8,我记得好像有个 360 主页锁定,修改成空白页,百般无奈下,这种方法百试百灵
    hyshuang2006
        14
    hyshuang2006  
       2018-11-23 13:09:39 +08:00
    你公司的 IT 太懒了,而且不负责任。
    gabezhao
        15
    gabezhao  
       2018-11-23 13:40:28 +08:00
    msdn i tell you+ 软谍通 =》完美
    yhxx
        16
    yhxx  
       2018-11-23 14:08:32 +08:00
    新系统别折腾了,官方渠道重装系统
    别用乱七八糟的装机工具和所谓的纯净版
    prophetstj
        17
    prophetstj  
    OP
       2018-11-23 14:37:15 +08:00
    干,IT 给重装的我又不好意思打脸·········
    我自己肯定我告诉你啊
    whtcmiss
        18
    whtcmiss  
       2018-11-23 17:48:06 +08:00
    不用快捷方式。每次打开使用 windows 搜索功能找到应用。直接查找 chrome 打开应该就可以了
    jx99
        19
    jx99  
       2018-11-23 17:58:01 +08:00
    1.有一些比较 low 的捆绑直接在浏览器启动路径上加上主页地址,右键浏览器查看属性看看起始位置尾巴有没有 2345 地址,有就删掉。
    2.注册表搜索跳转过去的域名,把能搜到的都删掉,不过有一些主页会先捆绑到一个奇怪的地址,在由那个地址跳转到 2345 主页,打开浏览器注意看地址栏是不是跳转过去的,拿跳转前的地址到注册表搜。

    我之前用 PE 装机被捆绑基本就是这两种方式就解决了,现在学乖了,用软碟通+官方镜像,不会出现这种问题。
    anonymous256
        20
    anonymous256  
       2018-11-23 20:26:56 +08:00 via Android
    有种常见但是比较 low 的篡改方式: 修改了你浏览器的桌面快捷方式。 不论你怎么查杀都查不到,但只要把原先的快捷方式删除,新建一个到桌面,立马就好。
    exip
        21
    exip  
       2018-11-23 20:29:06 +08:00 via Android
    有的 pe 是在检测到你是要释放系统镜像后,偷偷的在 C
    盘某个不注意的角落里放个很小的程序,然后自启动修改主页。原盘+巨硬官方 PE 或可信赖的 PE 可解。
    imn1
        22
    imn1  
       2018-11-23 20:43:15 +08:00
    我至今不知道 PE 有什么用?
    miaomiao888
        23
    miaomiao888  
       2018-11-23 23:16:56 +08:00   ❤️ 1
    http://bbs.maxthon.cn/thread-13216-1-1.html

    遨游已经帮你写好了各种类型劫持的解决教程
    moposx
        24
    moposx  
       2018-11-24 01:52:58 +08:00 via Android
    我还真就用的老毛桃 PE。。。但是不要用里面的一键装机。目前我知道的是一键装机会在 windows 目录里面复制一个程序来安装推广(也会修改主页),但倘若用 NTSetup 便没有这个问题。
    PE 推荐微 pe,镜像的话微软官方 /MSDN 我告诉你
    Moorj
        25
    Moorj  
       2018-11-24 02:33:15 +08:00
    rufus,跟软碟通一个原理,但是极为简单,可以理解为那个做系统盘的功能单独提出来了
    C2G
        26
    C2G  
       2018-11-24 02:49:54 +08:00 via Android
    @moposx LMT 感觉部分功能更全(不一定用得到但就是要)微 pe 是够纯净,但是 gpuz 都运行不了(缺文件)
    tester65535
        27
    tester65535  
       2018-11-24 07:27:56 +08:00 via Android
    @mengyang624 我也是这样用的
    henmeiweide
        28
    henmeiweide  
       2018-11-24 11:29:53 +08:00 via Android
    弱弱问下楼主是在哪里找的火绒小哥的服务的,我也是同样问题
    prophetstj
        29
    prophetstj  
    OP
       2018-11-27 20:15:10 +08:00
    @henmeiweide 火绒官方论坛 w
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5629 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 06:05 · PVG 14:05 · LAX 22:05 · JFK 01:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.