作者tawin (傳說中的天問)
看板AntiVirus
標題Re: [求救] Hao123綁架Chrome FireFox
時間Fri Jan 10 14:59:50 2014
我在裝了qvod後也中招了, 算是自找的
經過了以下的奮鬥, 終於解決了問題
中招後如同推文說的, 看起來完全沒有痕跡
但我發現如果在cmd.exe 中直接下指令 chrome.exe
就不會開啟hao123的分頁, 所以隱約覺得應該跟explore.exe有關
不過用regedit 看了一下explorer 的相關機碼, 但看不出所以然來
移除了Qvod後重開機也沒用
我認為是某未知的程式或dll透過explore傳hao123的網址參數到chrome
於是, 參考 tiany的方法, 但改在捷徑後面加上 --
目的是讓傳進來的參數被chrome 認為是附加指令而非網址
結果就可以免除chrome開hao123網頁
看起來, 我的猜測是正確的, 在雙擊捷徑之後會有某東東會將
hao123網址傳給chrome.exe 當作 %1
接著用ProcessExplorer搜尋了Qvod發現, explorer.exe裡面載入了
qvodxxxxx.dll而且是滿滿一整排, 少說一二十行(也包含其他程式)
所以我就去program files裡面檢查, 發現目錄根本沒有移除
我試著用檔案總管砍, 但是想當然爾的出現了檔案仍在使用中
重開機進入安全模式砍, 但是仍然顯示在使用中
還好電腦裝了雙系統, 開進ubuntu 12.04後把目錄移除
再開進windows xp, chrome就恢復正常了
接著再利用regedit 搜尋 qvod, 把qvod相關的設定移除乾淨
以上是我的方法, 可能有點笨, 不過解決了我的問題
推 tiany:不過最新的hao123綁架無法在regedit搜尋到,桌面捷徑->目標 11/06 20:11
→ tiany:裡面也不會有hao123的網址,不過透過ProcessExplorer查看的 11/06 20:12
→ tiany:時候,可以在command line中看到hao123的網址。兩邊的反差則 11/06 20:13
→ tiany:讓人手足無措,看看有沒有高手可以解決這個部份的問題... 11/06 20:14
推 if4:DAEMON Tool Lite 也有綁 hao123 安裝的時候要注意拿掉勾勾^_^ 11/08 14:21
→ r781013:捷徑 regedit到處都沒有hao123字串 about:config也沒有 11/09 15:52
→ r781013:完全不知道該怎麼辦... 11/09 15:52
推 tiany:有看過我那篇嗎?也許跟我的狀況是一樣的,試試看吧... 11/09 19:51
→ tiany:只能緩解不能徹底解決... patpat 11/09 19:51
→ tiany:話說,前幾天電腦重灌又裝了快播,這次沒有被hao123綁架, 11/09 19:53
→ tiany:整個意外啊....XD 11/09 19:53
推 tawin:中最新的....無效.. 01/10 12:45
推 tawin:只能暫時用.bat解決 01/10 13:35
推 tawin:捷徑後面加上 -- 也行 01/10 13:58
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 68.42.36.247