USB迷 | 专注于互联网分享

    最新消息: USBMI致力于为网友们分享Windows、安卓、IOS等主流手机系统相关的资讯以及评测、同时提供相关教程、应用、软件下载等服务。
    你的位置: 首页 > 业界 > 【已解决】Chrome浏览器被2024年新版流氓软件劫持,总会自动打开hao.360.com和so.com主页

    【已解决】Chrome浏览器被2024年新版流氓软件劫持,总会自动打开hao.360.com和so.com主页

    业界 admin 2浏览 0评论

    最近我家里电脑的 Chrome 浏览器每次启动时都会自动打开 hao.360 (有时是 www.so)主页。此时在浏览器地址栏手动输入 chrome://version ,可见命令行被强制加上一个 360 链接:

    我在网上找解决方法,看到大部分都是复制粘贴的旧文章,无非是检查 Chrome 浏览器快捷方式的“目标”命令后面有没有被做手脚,带上网址啥的。然并卵,因为我的 Chrome 快捷方式是干净的,chrome.exe 后面没有任何参数,如图:

    还有方法说运行 regedit,检查系统注册表以下三个路径:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main

    把 Main 里面的 Start Page 键删除。我电脑的注册表以上三个路径确实有 360 的 Start Page 键,可是删除它们之后并没有对 Chrome 有任何影响,毕竟这方法只是针对 IE 浏览器的。

    更离谱的是,在开始菜单的“运行”里输入 chrome 浏览器的路径:"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe",不带任何参数,结果 Chrome 浏览器仍会自动打开 360 主页。

    只有在命令行提示符界面里运行上述路径,Chrome 浏览器才不会自动打开 360 主页。

    就连开始菜单的运行命令也被恶意监测,我敢肯定是系统被注入了恶意代码,一直监测 Chrome 的启动。看来2024年新版的流氓软件出新招了,过去的防范办法已不管用。

    我花了一整天排查和调试,终于铲除根源,请看下面调试的记录。

    1、检查系统进程有没有异常

    我逐一审视任务管理器的进程列表,留意到一个 Wallpaper.exe 的程序,位于 GameAssistant 的目录:

    点击一下任务管理器详细信息的“命令行”进行排序,可见还有其他位于 GameAssistant 目录的程序在后台运行:clean.exe 以及 LocalServer.exe。

    这个 GameAssistant 是手游助手,我关闭手游助手,但 clean.exe、LocalServer.exe、Wallpaper.exe 仍驻留在内存中运行。

    看到这个 LocalServer.exe 的名称我已怀疑是手游助手作怪。于是手动结束这仨进程,关闭 Chrome 浏览器再打开,结果 Chrome 浏览器依然自动打开 360 主页。

    如果你不再需要手游助手,那就干脆卸载手游助手,Chrome 浏览器被劫持的问题就能彻底解决,下面的部分就不用看了。

    但这个软件对我来说还是有用处的,如果你像我一样依赖这个软件,那就请继续往下阅读。

    2、检查手游助手 GameAssistant 目录

    手游助手的安装路径一般是:C:\Users\Administrator\AppData\Local\GameAssistant

    以下的文件管理器截图都是 Total Commander 的界面。

    该目录赫然可见有 360 开头的文件,所以 Chrome 浏览器被劫持的源头绝对来自这里。

    经过我多次重启系统、关闭浏览器、重启浏览器,在 GameAssistant 目录里点击按日期排序,我发现一个现象:每次退出 Chrome 浏览器,下面的目录都会刷新为最新的时间:

    C:\Users\Administrator\AppData\Local\GameAssistant\sehelper
C:\Users\Administrator\AppData\Local\GameAssistant\wd

    3、抓住劫持浏览器的把柄

    GameAssistant 目录下的 sehelper、wd 两个子目录是重点怀疑对象。

    首先看 sehelper 里面的文件:

    有 sehook.dll、sehook64.dll文件,“se”是 360 的标志(Safe Explorer),“hook”是钩子,很明显是专门注入恶意代码的文件。

    果断删除 sehelper 目录。

    再来看 wd 目录:

    这里有 sesafepro.dll 等文件,该文件名可让人联想到此地无银三百两。其他的文件我猜不出是什么意思,尝试删除 wd 目录,结果呢……提示无法删除,被其他程序占用。

    好了,这下抓到把柄了,劫持浏览器的根源在于 wd 目录

    既然不能整个目录铲掉,那就在该目录下逐个文件删除,直到剩下有两个文件提示被占用。

    可以锁定 libnda.dll 劫持了资源管理器(explorer.exe),uniconft64.dll 劫持了 Chrome 浏览器

    4、斩草除根

    (1)首先关闭 Chrome 浏览器,使得 uniconft64.dll 不被占用。

    (2)按 Ctrl + Shift + Esc 打开任务管理器,转到“详细信息”。

    (3)找到 explorer.exe,点击“结束任务”。此时 Windows 任务栏消失。

    (4)在任务管理器点击菜单“文件”  ==> “运行新任务” ==> 输入“cmd” 这样打开命令行提示符。

    (5)在命令行提示符输入以下命令:

    cd c:\Users\Administrator\AppData\Local\GameAssistant\wd
del uniconft64.dll
del libnda.dll

    (6)这样就删掉上述两个 dll 文件了,关闭命令行提示符,回到任务管理器,点击菜单“文件”  ==> “运行新任务” ==> 输入“explorer” ,恢复显示 Windows 任务栏。

    5、防止死灰复燃

    删除 sehelper 和 wd 两个目录后,再打开 Chrome 浏览器,此时不会自动打开 360 主页,chrome://version 的页面里命令行是正常的,没有乱七八糟的链接。

    然而,我没有卸载手游助手,下次打开手游助手后,wd 目录仍会自动生成(sehelper 目录反而没有,这个先不管了),wd 目录里再次生成 libnda.dll、uniconft64.dll 等文件,那么关闭浏览器再打开,浏览器又再度自动打开 360 主页,陷入死循环……

    为防止手游助手自动释放恶意劫持文件,只能给 wd 目录设置禁止写入权限

    由于此时 explorer.exe 和 chrome.exe 又被劫持,需要先重复类似上面第4步方法:

    (1)关闭 Chrome 浏览器。

    (2)关闭手游助手。

    (3)在任务管理器里结束 explorer 进程。

    (4)还要结束手游助手相关的进程:clean.exe、GameAssistant.exe、LocalServer.exe、Wallpaper.exe

    (5)在任务管理器里运行 cmd 打开命令行提示符,运行命令清空 wd 目录的所有文件:

    del c:\Users\Administrator\AppData\Local\GameAssistant\wd\*.*

    (6)任务管理器运行 explorer 恢复任务栏。

    接下来对 wd 目录的权限作修改:

    鼠标右键单击 wd 目录 ==> 属性 ==> 安全 ==> 编辑

    分别选 Administrator 和 Administrators,在 Administrator 的权限列表里的“修改”点击一下“拒绝”的勾选框,这样下面的“读取”等权限都会被自动勾选。

    点击“确定”,会提示是否继续,点击“是”即可。 

    经过这样设置,wd 目录连管理员账号都无法访问了,也就彻底杜绝流氓软件释放恶意代码文件的可能性了。

    至此手游助手与浏览器友好相处,即使再怎么打开手游助手,运行 Chrome 浏览器都不会自动加载 360 或 so 的主页了。

    这个手游助手夹带私货,在玩得爽的同时竟然作出劫持浏览器如此卑劣的行径,令人防不胜防。严重鄙视这种软件!我不会用得长久,早晚会用其他安卓模拟器取代它。

    最近我家里电脑的 Chrome 浏览器每次启动时都会自动打开 hao.360 (有时是 www.so)主页。此时在浏览器地址栏手动输入 chrome://version ,可见命令行被强制加上一个 360 链接:

    我在网上找解决方法,看到大部分都是复制粘贴的旧文章,无非是检查 Chrome 浏览器快捷方式的“目标”命令后面有没有被做手脚,带上网址啥的。然并卵,因为我的 Chrome 快捷方式是干净的,chrome.exe 后面没有任何参数,如图:

    还有方法说运行 regedit,检查系统注册表以下三个路径:

    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main

    把 Main 里面的 Start Page 键删除。我电脑的注册表以上三个路径确实有 360 的 Start Page 键,可是删除它们之后并没有对 Chrome 有任何影响,毕竟这方法只是针对 IE 浏览器的。

    更离谱的是,在开始菜单的“运行”里输入 chrome 浏览器的路径:"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe",不带任何参数,结果 Chrome 浏览器仍会自动打开 360 主页。

    只有在命令行提示符界面里运行上述路径,Chrome 浏览器才不会自动打开 360 主页。

    就连开始菜单的运行命令也被恶意监测,我敢肯定是系统被注入了恶意代码,一直监测 Chrome 的启动。看来2024年新版的流氓软件出新招了,过去的防范办法已不管用。

    我花了一整天排查和调试,终于铲除根源,请看下面调试的记录。

    1、检查系统进程有没有异常

    我逐一审视任务管理器的进程列表,留意到一个 Wallpaper.exe 的程序,位于 GameAssistant 的目录:

    点击一下任务管理器详细信息的“命令行”进行排序,可见还有其他位于 GameAssistant 目录的程序在后台运行:clean.exe 以及 LocalServer.exe。

    这个 GameAssistant 是手游助手,我关闭手游助手,但 clean.exe、LocalServer.exe、Wallpaper.exe 仍驻留在内存中运行。

    看到这个 LocalServer.exe 的名称我已怀疑是手游助手作怪。于是手动结束这仨进程,关闭 Chrome 浏览器再打开,结果 Chrome 浏览器依然自动打开 360 主页。

    如果你不再需要手游助手,那就干脆卸载手游助手,Chrome 浏览器被劫持的问题就能彻底解决,下面的部分就不用看了。

    但这个软件对我来说还是有用处的,如果你像我一样依赖这个软件,那就请继续往下阅读。

    2、检查手游助手 GameAssistant 目录

    手游助手的安装路径一般是:C:\Users\Administrator\AppData\Local\GameAssistant

    以下的文件管理器截图都是 Total Commander 的界面。

    该目录赫然可见有 360 开头的文件,所以 Chrome 浏览器被劫持的源头绝对来自这里。

    经过我多次重启系统、关闭浏览器、重启浏览器,在 GameAssistant 目录里点击按日期排序,我发现一个现象:每次退出 Chrome 浏览器,下面的目录都会刷新为最新的时间:

    C:\Users\Administrator\AppData\Local\GameAssistant\sehelper
C:\Users\Administrator\AppData\Local\GameAssistant\wd

    3、抓住劫持浏览器的把柄

    GameAssistant 目录下的 sehelper、wd 两个子目录是重点怀疑对象。

    首先看 sehelper 里面的文件:

    有 sehook.dll、sehook64.dll文件,“se”是 360 的标志(Safe Explorer),“hook”是钩子,很明显是专门注入恶意代码的文件。

    果断删除 sehelper 目录。

    再来看 wd 目录:

    这里有 sesafepro.dll 等文件,该文件名可让人联想到此地无银三百两。其他的文件我猜不出是什么意思,尝试删除 wd 目录,结果呢……提示无法删除,被其他程序占用。

    好了,这下抓到把柄了,劫持浏览器的根源在于 wd 目录

    既然不能整个目录铲掉,那就在该目录下逐个文件删除,直到剩下有两个文件提示被占用。

    可以锁定 libnda.dll 劫持了资源管理器(explorer.exe),uniconft64.dll 劫持了 Chrome 浏览器

    4、斩草除根

    (1)首先关闭 Chrome 浏览器,使得 uniconft64.dll 不被占用。

    (2)按 Ctrl + Shift + Esc 打开任务管理器,转到“详细信息”。

    (3)找到 explorer.exe,点击“结束任务”。此时 Windows 任务栏消失。

    (4)在任务管理器点击菜单“文件”  ==> “运行新任务” ==> 输入“cmd” 这样打开命令行提示符。

    (5)在命令行提示符输入以下命令:

    cd c:\Users\Administrator\AppData\Local\GameAssistant\wd
del uniconft64.dll
del libnda.dll

    (6)这样就删掉上述两个 dll 文件了,关闭命令行提示符,回到任务管理器,点击菜单“文件”  ==> “运行新任务” ==> 输入“explorer” ,恢复显示 Windows 任务栏。

    5、防止死灰复燃

    删除 sehelper 和 wd 两个目录后,再打开 Chrome 浏览器,此时不会自动打开 360 主页,chrome://version 的页面里命令行是正常的,没有乱七八糟的链接。

    然而,我没有卸载手游助手,下次打开手游助手后,wd 目录仍会自动生成(sehelper 目录反而没有,这个先不管了),wd 目录里再次生成 libnda.dll、uniconft64.dll 等文件,那么关闭浏览器再打开,浏览器又再度自动打开 360 主页,陷入死循环……

    为防止手游助手自动释放恶意劫持文件,只能给 wd 目录设置禁止写入权限

    由于此时 explorer.exe 和 chrome.exe 又被劫持,需要先重复类似上面第4步方法:

    (1)关闭 Chrome 浏览器。

    (2)关闭手游助手。

    (3)在任务管理器里结束 explorer 进程。

    (4)还要结束手游助手相关的进程:clean.exe、GameAssistant.exe、LocalServer.exe、Wallpaper.exe

    (5)在任务管理器里运行 cmd 打开命令行提示符,运行命令清空 wd 目录的所有文件:

    del c:\Users\Administrator\AppData\Local\GameAssistant\wd\*.*

    (6)任务管理器运行 explorer 恢复任务栏。

    接下来对 wd 目录的权限作修改:

    鼠标右键单击 wd 目录 ==> 属性 ==> 安全 ==> 编辑

    分别选 Administrator 和 Administrators,在 Administrator 的权限列表里的“修改”点击一下“拒绝”的勾选框,这样下面的“读取”等权限都会被自动勾选。

    点击“确定”,会提示是否继续,点击“是”即可。 

    经过这样设置,wd 目录连管理员账号都无法访问了,也就彻底杜绝流氓软件释放恶意代码文件的可能性了。

    至此手游助手与浏览器友好相处,即使再怎么打开手游助手,运行 Chrome 浏览器都不会自动加载 360 或 so 的主页了。

    这个手游助手夹带私货,在玩得爽的同时竟然作出劫持浏览器如此卑劣的行径,令人防不胜防。严重鄙视这种软件!我不会用得长久,早晚会用其他安卓模拟器取代它。

    与本文相关的文章

    发布评论

    评论列表 (0)

    1. 暂无评论