V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
duzhor
V2EX  ›  Windows

windows 系统中顽固的 2345 到底如何根治?

  •  2
     
  •   duzhor · 2021-04-16 16:09:47 +08:00 · 11136 次点击
    这是一个创建于 1077 天前的主题,其中的信息可能已经有所发展或是发生改变。

    引言:

    我个人使用 windows 系统习惯较好,计算机专业走了许多坑爬出来的,现在看不到弹窗广告,浏览器主页没有被劫持,网页广告也过滤的差不多。

    但是我发现无论何时何地,C 盘有一个 2345 的文件夹永远删不掉,删了只管当时,重启系统又安安静静的躺在原位,任务管理器里也找不到相关进程(或者是伪装的我不认识)。

    就是这个地方: https://sm.ms/image/uDk583VXsvT2oOw

    第 1 条附言  ·  2021-04-16 16:55:04 +08:00
    声明系统环境:

    新安装下载自 msdn 。itellyou 。cn 的 Windows LTSC 2019 系统镜像;

    不使用 PE 系统,直接 ISO 启动安装;

    安装一些常用软件(怀疑是这些软件中的某个或某些带入);


    重新阐述问题:

    存在 C:\Program Files (x86)\2345Soft 路径;

    可以删除上述路径;

    经过一些操作后(已知方式是重启)前述文件夹再次出现;


    尝试排查方式:

    软件逐个安装检查;
    第 2 条附言  ·  2021-04-19 10:14:05 +08:00
    破案:

    安装 itsk 旗下的一键运行库后便会出现这个顽固的垃圾。https://www.itsk.com/forum.php?mod=viewthread&tid=396895

    替代方案:

    我随便找了个果核剥壳制作的运行库合集用。

    如果有相关推荐,非常欢迎。
    112 条回复    2021-04-20 14:42:28 +08:00
    1  2  
    terranboy
        1
    terranboy  
       2021-04-16 16:16:05 +08:00   ❤️ 2
    突然感觉国内的 win 用户好卑微
    jasonyang9
        2
    jasonyang9  
       2021-04-16 16:17:25 +08:00   ❤️ 15
    开启文件系统审计( FS Audit ),根据日志分析是哪个进程创建的目录
    https://www.varonis.com/blog/windows-file-system-auditing/
    Jirajine
        3
    Jirajine  
       2021-04-16 16:17:32 +08:00 via Android   ❤️ 43
    不懂。如果“个人使用 Windows 系统习惯较好”,那么电脑里绝无可能出现任何与 2345 相关的东西。
    codehz
        4
    codehz  
       2021-04-16 16:18:19 +08:00   ❤️ 1
    建议放弃斗争,直接重装系统吧,人家花费大价钱聘请业内专家整出的流氓软件岂能轻易的解决呢。。。
    huangsen365
        5
    huangsen365  
       2021-04-16 16:18:54 +08:00 via iPhone
    重装 msdn ltsc 原装版本
    duzhor
        6
    duzhor  
    OP
       2021-04-16 16:20:35 +08:00
    @huangsen365 就是用的 LTSC
    duzhor
        7
    duzhor  
    OP
       2021-04-16 16:22:06 +08:00
    @Jirajine 话不能说太满。刚装的系统,我在怀疑是哪个软件带的。问题关键是删!不!掉!
    alexkkaa
        8
    alexkkaa  
       2021-04-16 16:23:01 +08:00
    不要装中文英文系统, 装法德意日,再装 zh 语言包
    Jirajine
        9
    Jirajine  
       2021-04-16 16:23:13 +08:00 via Android   ❤️ 3
    什么叫“Windows 系统习惯较好”?我觉得,最基本的,通过官方镜像安装,不使用 OEM 厂商预装的系统,不使用任何 PE 、管家、装机工具之类玩意。安装任何非 FOSS 程序前都要仔细审计确保你信任其开发商。
    对所有来自中国大陆的、非官方版本的、经过修改的程序,一律使用虚拟机运行。
    我不信这样还能有 2345 这样的东西。
    1if5ty3
        10
    1if5ty3  
       2021-04-16 16:25:36 +08:00
    我就正常使用,不下载乱七八糟的软件,只从官网下载,加上火绒加持。已经很久没见过广告了。
    murmur
        11
    murmur  
       2021-04-16 16:25:47 +08:00
    2345 是毒瘤,除了新系统彻底禁止安装没别的方法
    cslive
        12
    cslive  
       2021-04-16 16:27:35 +08:00
    刚装的就出现这种情况,估计用的 pe 有问题,重装吧,用微软提供的工具安装
    Jirajine
        13
    Jirajine  
       2021-04-16 16:27:50 +08:00 via Android   ❤️ 2
    对了,再补充一点。不要购买通过 WPBT 向系统内注入程序的 OEM 厂商的设备。如果已经买了,那就不要安装 Windows 系统。
    lakehylia
        14
    lakehylia  
       2021-04-16 16:28:53 +08:00   ❤️ 1
    官网下载 win10 。虚拟机安装,然后你每安装一个软件,看看这个文件夹在不在,然后你就知道是哪个软件带的了。
    NewConn
        15
    NewConn  
       2021-04-16 16:34:41 +08:00
    我之前也出现了类似情况,所有浏览器包括 IE 、Chrome 、FireFox,主页被修改为 hao360,经检查是浏览器快捷方式被加入启动参数;
    手动去掉启动参数后,主页可以恢复正常,但一段时间又会自动加上;
    有人建议"右键-属性"关闭浏览器主程序及快捷方式的写入权限,仅留下读取权限,治标不治本,洁癖受不了;
    后来分析启动调用链发现,是 360 残留的垃圾 dll 在 explorer 上加了一个 hook,启动 chrome 时,动态加上启动参数,而且这个 dll 还删不掉;
    最后借助火绒把这个 dll 删了,当然火绒用完也卸载了;
    最终还是重装系统了,因为我也不信任火绒
    benjix
        16
    benjix  
       2021-04-16 16:36:02 +08:00
    查一下计划任务
    terranboy
        17
    terranboy  
       2021-04-16 16:39:51 +08:00   ❤️ 1
    是不是用 pe 装的系统 那应该是 pe 的问题
    pydiff
        18
    pydiff  
       2021-04-16 16:45:15 +08:00
    我自己装了好压跟看图王来用,刚刚去看了,这两个软件的文件夹下都没有 2345 的浏览器这个 exe,所以估计是因为你用的 pe 有问题的
    acmore
        19
    acmore  
       2021-04-16 16:50:22 +08:00   ❤️ 1
    习惯较好是不会有 2345 的
    yunyuyuan
        20
    yunyuyuan  
       2021-04-16 16:52:31 +08:00   ❤️ 1
    装 win 我只用 wepe
    l890908
        21
    l890908  
       2021-04-16 17:17:51 +08:00   ❤️ 4
    个人表示没有这个,历史上也不曾出现过,这种情况先去下载 360,用上面的强制删除,并阻止恢复的功能予以删除,然后再卸载 360
    xiaoz
        22
    xiaoz  
       2021-04-16 17:53:27 +08:00 via Android
    你用的流氓 PE 安装的吧,部分 PE 安装会动手脚。
    JensenQian
        23
    JensenQian  
       2021-04-16 17:55:59 +08:00   ❤️ 1
    用 360 把 2345 的都卸载了,再把 360 卸载了,这叫驱虎吞狼
    sujin190
        24
    sujin190  
       2021-04-16 17:56:41 +08:00
    不从官网下载?说不定你下的就是个被别人改过的
    qq316107934
        25
    qq316107934  
       2021-04-16 17:57:24 +08:00
    想抓到很简单,下个火绒,用火绒剑监控或者自定义规则设置这个目录,有程序读写的时候会自动弹窗,那时候啥妖魔鬼怪都会现形,要是一个正常的 exe,就去遍历他注入的 dll,里面肯定有一个签名不对的。
    ShuoHui
        26
    ShuoHui  
       2021-04-16 18:00:12 +08:00 via iPhone
    不要用盗版就基本上不会招惹到这个贱东西
    villivateur
        27
    villivateur  
       2021-04-16 18:05:46 +08:00 via Android
    删掉他,建一个只读的同名文件在那里
    gBurnX
        28
    gBurnX  
       2021-04-16 18:07:12 +08:00   ❤️ 1
    治理这种顽疾,正确的方法是,安装 360 安全卫士,来卸载流氓软件,以及强行删除残留文件夹。

    做完后,把 360 安全卫士删除就行。

    如果你能仍受主页被改为 360 导航,那么把 360 安全卫士留在电脑里,我觉得是上策,因为其他流氓就进不来了。
    aguesuka
        29
    aguesuka  
       2021-04-16 18:56:49 +08:00
    改文件权限.
    Tumblr
        30
    Tumblr  
       2021-04-16 19:01:33 +08:00
    根据楼主描述,感觉像是某些软件给你的 EFI 注入什么东西了,建议用管理员运行 autoruns,看看是否有可疑启动项(程序、服务、驱动等);如果解决不了再去看看 efi 里。
    l00t
        31
    l00t  
       2021-04-16 19:10:11 +08:00   ❤️ 2
    用了几十年 Windows 了,机器上从来没出现过 2345.
    l00t
        32
    l00t  
       2021-04-16 19:10:47 +08:00   ❤️ 2
    不如说说你都装了啥“常用软件”
    shyrock
        33
    shyrock  
       2021-04-16 19:13:24 +08:00
    删除该目录,建立同名目录,权限设置为单一用户可修改。然后不要用管理权限登录,这样除非他超越 windows 权限系统提权,没法再同名目录创建内容。
    bilibilifi
        34
    bilibilifi  
       2021-04-16 19:16:27 +08:00 via iPhone   ❤️ 1
    我觉得出现 2345 和使用习惯好不能同时为真...主力机用 linux 然后虚拟机上 ltsc 吧
    chanssl
        35
    chanssl  
       2021-04-16 19:31:19 +08:00
    C:\Users\USERNAME\AppData 三个文件夹逐一查看,把所有 2345 跟 minipage 等乱七八糟的全部干掉,删除不了的按提示去找到对应服务禁用掉。
    chanssl
        36
    chanssl  
       2021-04-16 19:31:37 +08:00
    然后再删除,一个一个来
    Jianrry
        37
    Jianrry  
       2021-04-16 19:42:46 +08:00 via Android
    @duzhor 先进一下 pe,在 pe 里面删
    gitopen
        38
    gitopen  
       2021-04-16 20:10:14 +08:00   ❤️ 1
    楼主不要用迅雷下载,下载完 iso 要校验一下 SHA1 ~~~大概率从迅雷下载,被篡改了。。。
    paoqi2048
        39
    paoqi2048  
       2021-04-16 20:57:03 +08:00
    恶人还需恶人治,有请主角 360 登场👻
    ihipop
        40
    ihipop  
       2021-04-16 21:01:51 +08:00 via Android
    @NewConn 调用链用什么调试的?
    july1995
        41
    july1995  
       2021-04-16 21:01:56 +08:00 via Android
    @l890908 正经脸。这个方法竟然是我目前能想到的对普通用户最有效的办法了。
    yyyb
        42
    yyyb  
       2021-04-16 21:02:01 +08:00
    重装系统,不装任何国产软件,我不信还有
    Zien
        43
    Zien  
       2021-04-16 21:32:49 +08:00   ❤️ 1
    讲道理使用习惯好很难有这种现象... 我最近五六年至少没见过什么 2345 弹窗之类的流氓软件了.

    最重要的是尽量不使用国产软件, 必须的鹅系的几个, 也不算流氓.
    就算使用盗版破解软件也别使用国内破解上传到什么城通百度之类的乱七八糟的东西.

    还有就是可以微软直接下载镜像, msdn 已经不复当年了.
    Maskeney
        44
    Maskeney  
       2021-04-16 23:30:45 +08:00
    自我感觉良好的楼主对众可执行文件说:我这么认真的装你们,你们怎么能给我装 2345 ?
    EarthChild
        45
    EarthChild  
       2021-04-16 23:48:52 +08:00
    八成不是进程,可能是服务控制的。
    SM2U
        46
    SM2U  
       2021-04-17 00:17:48 +08:00
    中国商业公司的软件通常是在虚拟机内运行的。 谢谢。
    m4d3bug
        47
    m4d3bug  
       2021-04-17 00:21:41 +08:00 via Android
    一般都是请 360 来清理 2345,然后再手动卸载 360
    asd192212595
        48
    asd192212595  
       2021-04-17 00:41:08 +08:00
    装个 360 国际版试试?
    crab
        49
    crab  
       2021-04-17 00:55:37 +08:00
    删除后再创建一个空文件夹并且把权限都去掉。这样对付过 chrome 扫描和 QQ 升级。
    pcmgr456
        50
    pcmgr456  
       2021-04-17 06:44:08 +08:00
    @Zien QQProtect 了解一下,国产 windows 软件最好用绿色版
    hjq632233317
        51
    hjq632233317  
       2021-04-17 08:18:59 +08:00
    装完系统直接进设置重置此系统 这之后才是一个干干净净的 win 系统 你下载的镜像没准带了啥
    kokutou
        52
    kokutou  
       2021-04-17 08:32:23 +08:00
    不如说说你都装了啥“常用软件”
    ragnaroks
        53
    ragnaroks  
       2021-04-17 08:40:52 +08:00
    装火绒,设置这个目录的规则,当有进程尝试操作这个目录你会收到通知,处理完毕后卸载火绒即可
    domodomo
        54
    domodomo  
       2021-04-17 08:47:41 +08:00
    流氓始祖 360 可以干掉它,用完再把 360 卸载了完事……感觉自己像渣男
    whatalittleboy
        55
    whatalittleboy  
       2021-04-17 09:16:52 +08:00
    排查下开机启动软件吧!删掉文件后,试试用 ccleaner 清理下注册表
    ctro15547
        56
    ctro15547  
       2021-04-17 09:18:44 +08:00
    把这个文件夹加密了
    testver
        57
    testver  
       2021-04-17 09:18:58 +08:00
    说说看你装了那些常用软件,什么版本的,哪里下载的
    580a388da131
        58
    580a388da131  
       2021-04-17 09:32:11 +08:00
    很明显 你下载的“常用软件”有问题
    supercaizehua
        59
    supercaizehua  
       2021-04-17 09:44:24 +08:00
    1. 常用软件列出来、这些软件中有哪些是非官方版(即各种去广告、破解等等)
    2. 参考网友们的建议,监控文件夹创建过程
    3. 你的尝试排查方式之前,应该先重装一遍系统,还原到最干净的时候
    opentrade
        60
    opentrade  
       2021-04-17 09:46:21 +08:00 via Android
    流氓还得流氓治
    Eytoyes
        61
    Eytoyes  
       2021-04-17 10:02:11 +08:00
    是不是笔记本电脑
    Lemeng
        62
    Lemeng  
       2021-04-17 10:32:09 +08:00
    2345 确实有点流氓,不过一直在用他们的看图软件,还不错,但是也要设置,关掉服务,关掉自动升级,改变升级文件权限,才能彻底杀掉不用它时的后台
    yanlaz
        63
    yanlaz  
       2021-04-17 10:34:49 +08:00
    从开机启动的进程排查(逐个禁用测试),可以用 sandboxie 等沙盘环境测试,找到问题就行,不需要重装系统。

    从文件看,这个推广软件是没有开始安装的,要特别注意弹窗广告,弹窗了,你就可以顺着进程找到源头了
    xianlu
        64
    xianlu  
       2021-04-17 10:53:37 +08:00
    那就是装软件带的 常用软件使用没问题就备份安装包以后用
    angiie
        65
    angiie  
       2021-04-17 11:08:10 +08:00
    装个火绒试试呗
    Cu635
        66
    Cu635  
       2021-04-17 11:10:48 +08:00
    lz 都安装什么软件了?

    @lakehylia
    每安装一个软件重启一次。

    @JensenQian
    @gBurnX
    360 无法确定性的真正卸载干净,除非重装。
    psllll
        67
    psllll  
       2021-04-17 11:10:58 +08:00
    常用软件是哪些都没说
    lengyihan
        68
    lengyihan  
       2021-04-17 11:23:31 +08:00 via Android
    安装 360 解决 2345 。
    fanyingmao
        69
    fanyingmao  
       2021-04-17 11:32:24 +08:00
    换 mac 就没这些烦心事了,还有吐槽下 win 做开发就是垃圾什么命令都没有,还有 wsl 也是难用。
    swsh007
        70
    swsh007  
       2021-04-17 11:53:52 +08:00 via Android   ❤️ 1
    一般都是各种稀奇古怪的输入法
    乱七八糟的工具软件,比如压缩,看图
    way2create
        71
    way2create  
       2021-04-17 12:00:34 +08:00
    没出现过 一般不乱装东西 之前有人拉我玩那种非要装 flash 的扣扣游戏 我都有点排斥
    fuchunliu
        72
    fuchunliu  
       2021-04-17 12:13:40 +08:00 via Android
    怎么可能干不掉,装虚拟机偷懒用 Ghost 版里面的 2345 都可以干掉的。


    仔细查进程 everything 搜索文件夹,一般这类软件的真正目录在当前用户的文件夹下 c:/users/当前用户 /Appxxx(这个记不清了,反正是一个隐藏文件夹)
    imn1
        73
    imn1  
       2021-04-17 13:08:48 +08:00
    搜“WMITOOL 解决劫持”,步骤有点复杂,文中所列未必和你的系统一样,但理解一下还是能找到恶意脚本的

    结合附言,提个醒,某个 win 激活软件带 2345 脚本,国内常见的那个,激活就装上,只要点某些位置的快捷方式就会启动,并不是修改主页那么简单,目测直接点 exe 文件可能不会启动,某些纯 64 位的版本也不会启动,但 32 位或者自检 32/64 的会启动
    如果是激活工具带入的,挺难解决的,因为一定时候激活工具要自动重设激活信息,又重新带上了,自己再清理一次

    WMI 注入只是其中一种可能,不排除还有其他方式
    gBurnX
        74
    gBurnX  
       2021-04-17 13:28:46 +08:00
    @Cu635 我不信。你可以做个 2345 的虚拟机镜像,然后我可以用 360 挑战一下。
    cl1107
        75
    cl1107  
       2021-04-17 13:41:09 +08:00
    你的常用软件有问题
    mmdsun
        76
    mmdsun  
       2021-04-17 14:09:16 +08:00
    把 C:\Program Files (x86)\2345Soft 路径加入 Windows Defender 防勒索文件 保护里面 创建目录 WD 也会有提示
    gdm
        77
    gdm  
       2021-04-17 14:30:01 +08:00
    我习惯不好,经常装一些破解来体验完整功能,还有一些 52pj 的人针对某些网站开发的下载工具,都没遇到过 2345
    这样看来,习惯不好其实比较好
    Esioner
        78
    Esioner  
       2021-04-17 14:37:33 +08:00
    1. 用的什么下的?如果是迅雷或者百度会不会是镜像被劫持了,你比对一下 md5 看看。
    2. 或者可能是某些激活工具、软件自带的?还有一些修改版软件可也需要排查
    3. 还有 PE 工具也会在你把镜像刷入 u 盘的时候也会夹带私货
    Biwood
        79
    Biwood  
       2021-04-17 15:09:19 +08:00
    前段时间看到个类似的帖子 https://www.v2ex.com/t/754794
    djv
        80
    djv  
       2021-04-17 15:19:11 +08:00
    软件列表大致展示一下
    NGwan
        81
    NGwan  
       2021-04-17 15:31:30 +08:00
    装个英文版系统完事。软件:开源 > store > 正版 > 国外 > 国内. 不用破解软件。
    sixway
        82
    sixway  
       2021-04-17 15:55:14 +08:00
    hendry
        83
    hendry  
       2021-04-17 16:22:52 +08:00 via Android
    2345 真是太狠了,很顽固,顽固的 360 可以消灭,以毒攻毒
    Lightbright
        84
    Lightbright  
       2021-04-17 17:08:58 +08:00 via Android   ❤️ 1
    某些软件有驱动级的后台,lz 可以用火绒剑之类的分析工具排查一下
    ns20
        85
    ns20  
       2021-04-17 17:40:01 +08:00 via iPhone   ❤️ 1
    国内的 flash 卖给了 2345 。从此 flash 更新这个窗口就被 2345 用来弹游戏广告了。
    gathc
        86
    gathc  
       2021-04-17 18:08:41 +08:00 via Android
    建议直接在 Microsoft 官网下载系统镜像安装
    Thymolblue
        87
    Thymolblue  
       2021-04-17 18:48:29 +08:00   ❤️ 1
    @yunyuyuan
    我只能说 wepe 也不一定时可信的
    rufus+windows 镜像
    WinPE+windows 镜像(官方的 WinPE 命令行)
    两种办法时最保险的
    guanyin8cnq12
        88
    guanyin8cnq12  
       2021-04-17 18:59:23 +08:00   ❤️ 1
    不要装国内的一切软件! 尤其是 360 全家桶,腾讯系,阿里系

    输入法用原生的
    windows office kms 激活
    浏览器用 chrome
    基本能满足日常办公需求
    Hardrain
        89
    Hardrain  
       2021-04-17 20:05:42 +08:00
    重装系统,避免任何中国的软件(自由软件除外)

    感觉这有点类似安卓(不是 Android)应用为各种目的附带的 SDK 索要存储权限并乱创建目录
    bclerdx
        90
    bclerdx  
       2021-04-17 20:17:43 +08:00 via Android
    @gathc 有链接么?
    MYDB
        91
    MYDB  
       2021-04-17 20:18:04 +08:00   ❤️ 1
    @guanyin8cnq12 不能再同意了!我电脑里只有战网是国内的哈哈,而且装的还是可切换国际版的版本,反正我身边游戏朋友都转到 discord 了,所以国产聊天软一个都没装
    MYDB
        92
    MYDB  
       2021-04-17 20:18:37 +08:00
    hyrious
        93
    hyrious  
       2021-04-17 21:17:05 +08:00 via Android
    直接重装吧,我以前排查它残留的时候在注册表里看到一堆…
    DandelionFlowers
        94
    DandelionFlowers  
       2021-04-17 22:01:40 +08:00 via Android
    改文件属性,
    DandelionFlowers
        95
    DandelionFlowers  
       2021-04-17 22:03:54 +08:00 via Android
    1 火绒
    2 应用程序删掉,在文件夹属性-安全 读写用户全禁了,然后去注册表里搜 2345,相关的全删了。
    希望有用...
    dianso
        96
    dianso  
       2021-04-17 23:05:55 +08:00
    好习惯用户表示 9 年没遇到过 2345 了
    shonnliberty
        97
    shonnliberty  
       2021-04-17 23:31:36 +08:00   ❤️ 1
    UEFI 根本不需要第三方工具啊, 下载 Windows 官方镜像文件校验 SHA256 解压镜像文件到 U 盘就能安装系统了, 根本不需要 PE 连 Rufus 都不需要, 好几年都不用 PE 工具了.

    校验工具开源的 GtkHash, 校验速度比其它同类型的要快.
    https://github.com/tristanheaven/gtkhash/releases
    zhangkunkyle
        98
    zhangkunkyle  
       2021-04-18 00:41:24 +08:00
    process monitor 监控下,再加上 pchunter 干掉后就行,实在不行检查一下内核驱动有没有 2345 相关的
    jousca
        99
    jousca  
       2021-04-18 02:23:49 +08:00
    这种时候请出 360 急救箱 ,嘿嘿…… 开启强力模式。驱动型的这种劫持直接就灭掉了。还是老流氓熟悉套路。
    itzamana
        100
    itzamana  
       2021-04-18 02:45:27 +08:00
    2345 浏览器…
    用火绒创建自定义防护规则,如图,当有程序创建这个文件夹时应该就有提示了…

    ![1.png]( https://i.loli.net/2021/04/18/8pEMLxY1QRAVWaC.png)
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   4063 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 05:17 · PVG 13:17 · LAX 22:17 · JFK 01:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.