慎用系统之家的Ghost系统(内置木马劫持浏览器主页)

dreampet · 发表于 2016-6-8 09:24:18

本帖最后由 dreampet 于 2016-6-8 09:25 编辑

昨天重装系统，想节省时间，在系统之家上下载了一个“＝＝系统之家-Ghost Win7 SP1 64位纯净版-2016＝＝”，装完以后，灾难就来了。
首先，发现IE浏览器的主页被设置成2345，于是在IE选项中修改，不出所料，没有效果。
接着，在注册表中搜索该网址，找到两次StartPage的键值，删掉。
一般情况，到这里就应该解决了，但是，这次却没有效果，再次打开浏览器，还指向该导航，并且，安装的Chrome流量器，打开后也自动指向该导航。
看来是有后台进程驻留了，打开MSE扫描，没有发现，出动PowerTool人肉查找，发现Explorer.exe有不明的服务"C:\Program Files\Common Files\Services\Services.exe"
定位到该文件夹，勾选显示隐藏文件夹，去掉隐藏受保护的操作系统文件，原型毕露：
一个动态库加上两个可执行文件，都设置成系统文件属性。

ghost.ini是配置文件，估计是记录从那个来源安装的。

最后，曝光下制作者的信息。

X1813 · 发表于 2016-6-8 10:55:45

楼主你太牛了

ADL · 发表于 2016-6-8 10:59:16

我上次装了个win7纯净版32位的也是这样，给我安装了5个浏览器，主页都是无法修改，还有金山卫士也无法删除，最后进入安全模式把整个文件夹删了，越来越没节操了。之前的雨林木风，萝卜啊那些算是比较良心的，但是被搞死了，现在挂雨林木风，萝卜的不知道是什么鬼

dsclosky · 发表于 2016-6-8 11:04:39

ADL 发表于 2016-6-8 10:59
我上次装了个win7纯净版32位的也是这样，给我安装了5个浏览器，主页都是无法修改，还有金山卫士也无法删除 ...

雨林木风，xp么？

ADL · 发表于 2016-6-8 11:06:53

dsclosky 发表于 2016-6-8 11:04
雨林木风，xp么？

嗯，win7时代雨林木风已经不做系统了吧

dsclosky · 发表于 2016-6-8 11:10:41

ADL 发表于 2016-6-8 11:06
嗯，win7时代雨林木风已经不做系统了吧

现在已经彻底不用xp了，没win7好用，呵呵

1105284241 · 发表于 2016-6-8 11:12:02

要用旧版本才行，没有这么流氓，新版都学坏了。

ADL · 发表于 2016-6-8 11:23:22

dsclosky 发表于 2016-6-8 11:10
现在已经彻底不用xp了，没win7好用，呵呵

还在用着XP，只是笔记本装了win7，笔记本不知道是不是兼容的问题，xp很容易出问题。

菜菜 · 发表于 2016-6-8 11:31:35

这种还不够隐蔽的，还有一种是安装完系统后你使用一段时间再给你自动安装一堆软件。不清楚的还以为是自己上网乱点到哪里！

typedef · 发表于 2016-6-8 11:33:44

系统只装MSDN版的

martin200 · 发表于 2016-6-8 11:37:48

我也是装GHOST系统后, 主页变成2345, 郁闷.

后来下载了个杀毒软件, 处理掉的

dreampet · 发表于 2016-6-8 11:43:46

菜菜发表于 2016-6-8 11:31
这种还不够隐蔽的，还有一种是安装完系统后你使用一段时间再给你自动安装一堆软件。不清楚的还以为是自己上 ...

杀掉的这个不排除有这个功能，目前是刚装完就被我发现了。

ycheng2004 · 发表于 2016-6-8 12:04:23

系统还是一步步原版安装最好,这样只有微软一家公司的后门,

roadking1982 · 发表于 2016-6-8 12:22:20

曾经调查过，几乎所有ghost免费下载的操作系统，还百度推广，基本上都指向淮南还是淮阴一个公司，不知道他们为啥免费给大家提供操作系统，还百度推广。

alphax64 · 发表于 2016-6-8 12:46:56

真正的绿色还是原版，二手的都是不可靠的。

colgatechen · 发表于 2016-6-8 12:53:32

楼主牛啊，之前也遇到过这情况，只能重装一个

LVmcu · 发表于 2016-6-8 12:57:21

求powertool官网

dreampet · 发表于 2016-6-8 13:00:33

roadking1982 发表于 2016-6-8 12:22
曾经调查过，几乎所有ghost免费下载的操作系统，还百度推广，基本上都指向淮南还是淮阴一个公司，不知道他 ...

对上了，这个木马的签名信息就是江苏仪征的，看来这个公司到现在还建在，估计赚的盆满钵满。

cenkey · 发表于 2016-6-8 13:04:10

网上的GHOST系统都有这个问题，我之前装的给我装了一大堆游戏和垃圾软件。

wgm_123 · 发表于 2016-6-8 13:40:57

我是深度win7，不知有没有内置木马程序？

lengshuicha · 发表于 2016-6-8 13:47:40

网上的ghost系统和WIN PE系统全部都有问题。

atl0402 · 发表于 2016-6-8 22:38:49

佩服楼主,求 powertool

wqsjob · 发表于 2016-7-5 15:53:46

我在找纯净版的 PE系统，
真的没找到，难道非要逼我们自己研究怎么弄吗

yp19820523 · 发表于 2016-7-6 09:20:27

LVmcu 发表于 2016-6-8 12:57
求powertool官网

http://powertool.s601.xrea.com/

是不是这个？

syj0925 · 发表于 2017-6-14 22:31:32

dreampet 发表于 2016-6-8 11:43
杀掉的这个不排除有这个功能，目前是刚装完就被我发现了。

有个疑问，数字签名里面的信息，软件作者为什么不会用假姓名吗？难道必须要经过机构审查？麻烦指教。

yoofe · 发表于 2017-6-14 22:57:31

wqsjob 发表于 2016-7-5 15:53
我在找纯净版的 PE系统，
真的没找到，难道非要逼我们自己研究怎么弄吗

我用的天意PE,www.winpe.cc

慎用系统之家的Ghost系统(内置木马劫持浏览器主页)

本帖子中包含更多资源

阿莫论坛20周年了！感谢大家的支持与爱护！！