作者Kitakami (北上)
看板AntiVirus
標題[心得] xinit.exe 造成瀏覽器被hao123綁架
時間Fri Dec 5 23:07:26 2014
前幾天說了hao123的壞話
沒想到今天下午事情就來了.....
公司有位同仁調到其他部門去
他用的那台電腦當然就要做個整理
主管點了一個問題說這台電腦很慢慢慢...
還有就是首頁會跳到別的網頁
當時八成想說應該是中毒了
連到對方電腦一看:看到兩個不想看到的東西
一個是百度衛士+百度殺毒
另一個就是知名的hao123網站綁架
百度的部份比較簡單,不過卻很狡猾
他有移除程式,可是卻不會產生在程式集與新增或移除程式裡
必須要從Program Files底下到百度的資料夾裡執行移除程式
才能完全移除這兩款
再利用adwcleaner把剩下的殘留檔給清除掉即可
至於hao123比較棘手
因為這台沒有裝Qvod,即使去regedit裡把hao123相關數值移除
還是會重新被竄改
即使用了adwcleaner等其他工具也沒有用
但是這次被串改的案例有一個特點
那就是不管開啟哪一個瀏覽器
初次的網址都會被導向
http://127.0.0.1
後來翻遍了Google,最後確定是 [xinit.exe] 這隻程式在搞的鬼
檔案還藏在IE目錄底下,其他瀏覽器也跟著中槍
把它移除後再用防毒軟體掃毒
重新開機後才算順利解決
話說這隻 xinit.exe 好像比較少人討論的樣子
不過還是提供一下資訊給大家參考一下(′・ω・‵)
--
Sent from my
61cm五連裝(酸素)魚雷
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.118.68.212
※ 文章網址: http://www.ptt.cc/bbs/AntiVirus/M.1417792051.A.B5D.html
推 yjn: 給推 12/05 23:33
推 bearland: 感謝分享,殺毒辛苦了 12/06 03:02
推 hirokofan: 看到這個名字我還以為是LINUX的東西 12/06 07:23
推 orgasm7788: 感謝分享 12/06 12:28
推 yjn: 覺得這篇該m或收入精華區 12/07 06:58
推 book0602: 給推 感謝分享 12/08 11:00