版权声明:©1995-2018 CodingTheFuture, blog. All rights reserved. https://blog.csdn.net/sunqian666888/article/details/84848713
打开 IE 或 Edge 浏览器,主页均被强行篡改为 https://www.2345.com/?11319
用过软媒魔方的人大概都有所体会,这两家公司就是乌合之众,迟早要死翘翘。
一、Edge 浏览器主页被篡改,修改即可
二、IE 浏览器劫持
1.排查IE浏览器快捷方式是否被篡改
如果快捷方式后面没有 2345.com 的字样代表没有被篡改,如下是没有被篡改
2.排查注册表是否被修改
WIN+R 打开运行工具,输入 regedit 然后点击 确定,查找所有 2345.com 的内容并全部删除
当删除一条后按 F3 继续查找下一条,直到删除完为止
之后发现IE主页依然被劫持,网上说和软媒魔方有关系,刚好前段时间运行过软媒魔方,所以检查软媒魔方
使用工具 PCHunter ,检查青岛软媒魔方的程序:
其中 winguard.exe 就是罪魁祸首,结束进程后发现IE主页正常了
最后删除 pcmaster 整个文件夹,防止程序哪天自动运行后又篡改主页
C:\Users\perfect\AppData\Roaming\pcmaster 红字部分请自行替换
删除过程中发现有个DLL 被占用,不能删除
命令行: tasklist /m winguard_x64.dll 查看被哪些进程占用
C:\Users\perfect>tasklist /m winguard_x64.dll
映像名称 PID 模块
========================= ======== ============================================
OpenWith.exe 3476 winguard_x64.dll
OpenWith.exe 10524 winguard_x64.dll
AppVShNotify.exe 12980 winguard_x64.dll
C:\Users\perfect>tasklist /m winguard_x64.dll
映像名称 PID 模块
========================= ======== ============================================
OpenWith.exe 10524 winguard_x64.dll
AppVShNotify.exe 12980 winguard_x64.dll
C:\Users\perfect>tasklist /m winguard_x64.dll
映像名称 PID 模块
========================= ======== ============================================
AppVShNotify.exe 12980 winguard_x64.dll
C:\Users\perfect>tasklist /m winguard_x64.dll
信息: 没有运行的任务匹配指定标准。结束占用的进程后即可删除