【扒开】关于赢驴准心劫持浏览器首页的病毒类行径
EMMM,我是个比较喜欢玩游戏的吧,有的游戏准心不显示,所以要弄个准心。
使用赢驴准心以来都是好好的,但是昨晚在玩的时候突然提示更新,我本人是极度讨厌更新的,所以一般看到更新都会选择取消。
然而,事情并没有想象中那么美好。
是的,如同标题所说的,昨晚我的首页被劫持了,我还以为看错了,今天起床发现现象依旧存在,期间安全软件没有报警,这使得我的冷汗流了一下,到底是什么病毒能穿过我电脑中的安全软件劫持了首页呢?会不会有所谓的恶意操作呢?
我的安全软件用的是火绒。
首先说说浏览器首页是怎么被劫持的吧。
我自己用的是360极速浏览器,打开浏览器,过个几秒,
就会在地址栏里黏贴一个网址:www.oao123.com,
然后跳转到https://www.hao123.com/index.htm?tn=29065018_55_hao_pg。
其次说说怎么找这个病毒吧,首先打开任务管理器发现了一个比较陌生的进程
右键打开文件位置,进入到指定位置后看着挺像毒的啊,虽然火绒杀不出来
关闭这个进程(eaha.exe)后就没有出现以上情况了。
最后分析一下吧
看一下属性
DY.INC跟Dongyi.Tech
看样子这两个东西是出自同一个公司(会社)的手下啊
好在这两个程序都没有造成大的破坏(也就劫持下首页)
软件也没有关于劫持的设置,也没有经过用户的同意,所以判定为恶意行为应该是没问题了吧
关于开机自动运行,上面这个软件更新后自动勾选了(其次我也以为更新也就更新一些没什么卵用的功能,还真的是没什么卵用还会给用户烦恼的功能),如果你站在用户的角度下,我又不是每天玩游戏,为什么要开机启动?
虽然我没测试,但我认为应该是开机启动好释放上面的eaha.exe从而劫持用户的浏览器好赚钱啊。
接着说怎么处理这个病毒吧
打开任务管理器把这两个进程关掉
然后到eaha.exe的位置删除整个文件夹
还有就是你这个软件我也不想再用到了,有多远滚多远(吃相难看的玩意),删除:
接着处理开机启动项
有工具的可以直接用工具
没工具的手动也可以,都一样的
我有火绒,有启动项管理工具
删除:
好像只有:禁止启动
其次我还是希望各类安全软件能处理这类行为吧,懒得我们这些用户动手,我可是很懒的,懒得我整天上班想着怎么偷闲,加快工作的效率,虽然我工作的确是挺闲的。