RT，前幾天碰到了臺電腦，開啟瀏覽器就劫持訪問889hao。

系統是win10 x64，瀏覽器是360安全瀏覽器、IE瀏覽器，其他沒裝不清楚。

按以往經驗，逐一排查：

• 檢查瀏覽器主頁設定，設百度為首頁。主頁已經是百度，但是開啟瀏覽器還是訪問889hao，點主頁按鈕正常訪問百度。
• 重置瀏覽器設定，還是一樣。
• 檢查了瀏覽器快捷方式，沒有網址尾巴。
• 檢查了登錄檔的主頁設定項，正常。
• 檢查了代理設定，本地連線dns設定，都正常。
• 修復了lsp，重置winsock，依舊劫持。
• 用360安全衛士鎖定主頁，開啟瀏覽器還是訪問889hao。

想起還有命令列引數可以做手腳，開啟工作管理員程序列表，右擊勾選命令列（或者cmd下wmic，process）。看到瀏覽器程序的啟動引數為889hao的網址。 然後檢查了登錄檔的.exe和exefile項，引數正常。這樣看來只可能中毒了。

接著做了些測試：

• 開啟瀏覽器目錄，直接雙擊開啟瀏覽器主程式，依舊劫持。
• 改瀏覽器主程式名字，開啟正常訪問首頁，沒瀏覽器劫持了。
• 開啟cmd，cd到瀏覽器目錄，輸入iexplore.exe，開啟IE，正常訪問首頁。同理用工作管理員的新建任務開啟，也正常訪問首頁，沒有劫持

根據上面測試，猜測病毒劫持了explorer.exe，用explorer.exe開啟瀏覽器就會被加網址引數執行。 然後嘗試複製cmd.exe到瀏覽器目錄，改名為explorer.exe，雙擊開啟，輸入iexplore.exe訪問，劫持。改回原名，正常。

所以確定有病毒，根據程序名劫持了explorer.exe！

下載autoruns，pchunter。沒檢查到可疑的啟動項，優先檢查了驅動和服務。 pchunter裡的驅動、服務、核心、核心鉤子、程序鉤子等等，每個選項都仔細看一遍了，沒發現可疑的（下面提到的那個檔案，確定看不到）。 登錄檔的services下也沒找到可疑項，開啟drivers檔案目錄也看不到異常檔案（顯示系統檔案和隱藏檔案了）。 無解，嘗試下載防毒軟體，小紅傘、nod32、火絨。掃描了一遍沒發現異常。 裝火絨時，火絨劍初始化異常。後來用下載了360急救箱、火絨惡意木馬專、Malwarebytes Anti-Rootkit都沒查到什麼，pe下360急救箱也沒查到。mbr、bcd也檢查過了，正常。 下載了卡巴斯基，安裝時提示系統被病毒感染無法安裝。 後來，看了火絨的安全播報，發現現在很多驅動級隱藏自我保護的病毒。想起還沒用pchunter的登錄檔檢視services，一看果然發現了個專案，976e474f5e。 一看就很可疑。同時用pchunter的檔案管理檢視system32\drivers目錄，也發現了976e474f5e檔案。但是pchunter的驅動選項卡里看不到這個驅動！登錄檔編輯器裡也看不到這個！ 於是刪除登錄檔項和檔案，重啟。開啟pchunter檢視還有這個的登錄檔項和檔案，依舊劫持主頁。 可能有自我保護。於是裝了個微pe，在pe裡刪除了這個檔案，重啟電腦，恢復正常了，正常訪問百度首頁。 可惜當時還拷貝了病毒樣本，重啟莫名其妙不見了。

感慨！現在的改主頁的病毒都這麼牛了。防毒軟體任重而道遠啊~