Re: [求救] Hao123綁架Chrome FireFox
我在裝了qvod後也中招了, 算是自找的
經過了以下的奮鬥, 終於解決了問題
中招後如同推文說的, 看起來完全沒有痕跡
但我發現如果在cmd.exe 中直接下指令 chrome.exe
就不會開啟hao123的分頁, 所以隱約覺得應該跟explore.exe有關
不過用regedit 看了一下explorer 的相關機碼, 但看不出所以然來
移除了Qvod後重開機也沒用
我認為是某未知的程式或dll透過explore傳hao123的網址參數到chrome
於是, 參考 tiany的方法, 但改在捷徑後面加上 --
目的是讓傳進來的參數被chrome 認為是附加指令而非網址
結果就可以免除chrome開hao123網頁
看起來, 我的猜測是正確的, 在雙擊捷徑之後會有某東東會將
hao123網址傳給chrome.exe 當作 %1
接著用ProcessExplorer搜尋了Qvod發現, explorer.exe裡面載入了
qvodxxxxx.dll而且是滿滿一整排, 少說一二十行(也包含其他程式)
所以我就去program files裡面檢查, 發現目錄根本沒有移除
我試著用檔案總管砍, 但是想當然爾的出現了檔案仍在使用中
重開機進入安全模式砍, 但是仍然顯示在使用中
還好電腦裝了雙系統, 開進ubuntu 12.04後把目錄移除
再開進windows xp, chrome就恢復正常了
接著再利用regedit 搜尋 qvod, 把qvod相關的設定移除乾淨
以上是我的方法, 可能有點笨, 不過解決了我的問題
推
11/06 20:11,
11/06 20:11
→
11/06 20:12,
11/06 20:12
→
11/06 20:13,
11/06 20:13
→
11/06 20:14,
11/06 20:14
推
11/08 14:21,
11/08 14:21
→
11/09 15:52,
11/09 15:52
→
11/09 15:52,
11/09 15:52
推
11/09 19:51,
11/09 19:51
→
11/09 19:51,
11/09 19:51
→
11/09 19:53,
11/09 19:53
→
11/09 19:53,
11/09 19:53
推
01/10 12:45,
01/10 12:45
推
01/10 13:35,
01/10 13:35
推
01/10 13:58,
01/10 13:58
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 68.42.36.247
討論串 (同標題文章)
完整討論串 (本文為第 6 之 7 篇):
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
