admin 管理员组

文章数量: 887021

刚才,一位朋友的Windows7 电脑中IE、搜狗等浏览器首页被qq789劫持,请我通过QQ远程协助帮忙解决。

 右击朋友电脑桌面上的Internet Explorer图标,从弹出的菜单中选择“属性”,弹出的“Internet 属性”窗口是这样的:

看起来很奇怪,也很别扭,看起来Internet选项的一些功能被限制了。因为通过控制面板打开的正常的“Internet 属性”窗口是这样的:

Internet选项 中的IE首页设置并没有被窜改,那应该是有恶意程序在后台做动态劫持。

下载 pe_xscan扫描log分析,发现如下可疑项目:

pe_xscan 11-03-17 by Purple Endurer
2022-7-26 23:16:11
Windows Windows 7 Service Pack 1(6.1.7601)
MSIE:9.11.9600.19596
管理员用户组
正常模式

O2 - IeAddOn(JsObject Class) - {11CC93E4-0BE6-4f8f-82AA-D577FB955B05}
   = C:\Program Files (x86)\addr\{8AA6CAA9-9E8E-8BBA-091C-1725149617FF}\AddressBar.dll    |$X
O2 - IeAddOn(FanQianBao Class) - {21E5EE35-AAD0-40FF-BC55-6CF604906097}
   = C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBExtIE.dll    |$Shanghai Zheyue Financial Information Service Co.,Ltd.    |    2017-6-29 21:12:57 | 返钱宝宝Web组件 | 2.0.1.10 | 返钱宝宝Web组件 | Copyright(C) 2011-2016 fanqianbb All Rights Reserved. | 2.0.1.10 | fanqianbb| ? | FQBExtIE.dll | FQBExtIE.dll
O2 - IeAddOn(KouShuiDang Class) - {25A1EDDD-CAD0-40EE-B868-905EA69DC803}
   = C:\Users\Administrator\AppData\Local\tucao\module\TCHelper.dll    |$Shanghai Ban Ru Tech Co. Ltd.    |    2017-8-16 17:48:53 | 口水党IE浏览器扩展 | 1.2.0.13 | 口水党IE浏览器扩展 | Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd. | 1.2.0.13 | koushuidang| ? | TCHelper.dll | TCHelper.dll
O2 - IeAddOn(FQBPlugin Class) - {7C315CD5-FE48-4E1D-99C5-2BC70841BE88}
   = C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBPlugin.dll    |$Shanghai Zheyue Financial Information Service Co.,Ltd.    |    2017-6-29 21:12:58 | 返钱宝宝Web插件 | 2.0.1.10 | 返钱宝宝Web插件 | Copyright(C) 2011-2016 fanqianbb All Rights Reserved. | 2.0.1.10 | fanqianbb| ? | FQBPlugin.dll | FQBPlugin.dll
O2 - IeAddOn(KSD Plugin Class) - {E05434C6-00F1-41DA-988E-F953F1A56460}
   = C:\Users\Administrator\AppData\Local\tucao\module\TCPlugin.dll    |$Shanghai Ban Ru Tech Co. Ltd.    |    2017-8-16 17:48:54 | 口水党插件模块 | 1.2.0.13 | 口水党插件模块 | Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd. | 1.2.0.13 | koushuidang| ? | TCPlugin.dll | TCPlugin.dll


DandelionStarter.job -> C:\Users\Administrator\AppData\Roaming\talimama\tm\Dandelion.exe 
MSBBSL AutoUpdate.job_ -> C:\Program Files (x86)\MSBBSL\0.0.22.13\MSBBSLUpdate.exe 
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\restrictions 存在 IE或Internet选项可能受到限制
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet选项可能受到限制
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions 存在 IE或Internet选项可能受到限制

O23 - 服务: 2345CPort (2345CPort) - system32\drivers\2345CPort.sys    |$X(禁用)
O23 - 服务: 2345NsProtect (2345NsProtect) - system32\drivers\2345NsProtect.sys    |$X(系统)
O23 - 服务: 2345WebProtectFrame (2345WebProtectFrame) - system32\drivers\2345WebProtectFrame.sys    |$X(禁用)

O23 - 服务: blbdrive () - system32\DRIVERS\blbdrive.sys    |$X(系统)
O23 - 服务: bootsafe (bootsafe) - system32\Drivers\bootsafe64.sys    |$X(引导)
O23 - 服务: bowser (@%systemroot%\system32\browser.dll,-102) - system32\DRIVERS\bowser.sys    |$X(手动)

O23 - 服务: Disk (磁盘驱动程序) - system32\drivers\disk.sys    |$X(引导)
O23 - 服务: diskdump () - system32\drivers\diskdump.sys    |$X(手动)


O23 - 服务: FQBService (FQBService) - C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBSvc.exe    |$Shanghai Zheyue Financial Information Service Co.,Ltd.    |    2017-4-18 10:26:14 | 返钱保护模块 | 1.0.1.39 | 防止返钱订单丢失的服务, 关闭此服务可能出现无法正常获得返钱的情况. 建议自动开启此服务. | Copyright(C) 2011-2016 fanqianbb All Rights Reserved. | 1.0.1.39 | fanqianbb| ? | 返钱保护模块| ?(禁用)
O23 - 服务: GmXbox_update1 (GmXbox_update service) - C:\windows\system32\svchost.exe -k GmXbox_update    |$M$    |    2009-7-14 9:14:41 | Microsoft? Windows? Operating System | 6.1.7600.16385 | Windows 服务主进程 | ? Microsoft Corporation. All rights reserved. | 6.1.7600.16385 (win7_rtm.090713-1255) | Microsoft Corporation| ? | svchost.exe | svchost.exe.mui
       -> C:\Program Files (x86)\gmbox\gmbox.dll    |$X(停止)
O23 - 服务: GSoInputUpdateSvr (GSoInputUpdateSvr) - "C:\Program Files (x86)\GSoSoft\GSoInput\1.0.0.2162\GSoInputUpdateSvr.exe"    |$He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si    |    2019-12-25 12:28:21 | 极速输入法升级服务 | 1.0.0.2162 | 极速输入法升级服务 | Copyright 2019 He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si. All rights reserved. | 1.0.0.2162 | He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si| ? | GSoInputUpdateSvr.exe | GSoInputUpdateSvr.exe(手动)
O23 - 服务: GSoSecue () - system32\drivers\diskdump.sys    |$X(手动)
O23 - 服务: KuaiZipDrive (${APPNAME}驱动程序) - C:\Users\Administrator\AppData\Roaming\快压\X64\KuaiZipDrive.sys    |$X(自动)
O23 - 服务: regsdump () - system32\drivers\diskdump.sys    |$X(手动)

O23 - 服务: ttmtor (ttmtor) - C:\Windows\system32\drivers\ttmtor.sys    |$X | Helper | 1.0.0 | 2345全盘平台 | 版权所有(c) | 1.0.0.2366 | | ? | 2345quanpan | 2345quanpan.sys(系统)

O23 - 服务: WinUsb (Android USB Driver) - system32\DRIVERS\WinUsb.sys    |$X(停止)

O23 - 服务: WSSvcHost (WSSvcHost) - C:\Windows\SysWOW64\svchost.exe -k Fvalutor    |$M$    |    2009-7-14 9:14:41 | Microsoft? Windows? Operating System | 6.1.7600.16385 | Windows 服务主进程 | ? Microsoft Corporation. All rights reserved. | 6.1.7600.16385 (win7_rtm.090713-1255) | Microsoft Corporation| ? | svchost.exe | svchost.exe.mui
       -> C:\Users\Administrator\AppData\Roaming\WSSvcHost\Svcmpir.dll    |$Sichuan Zhiling Times Network Technology Co., Ltd.    |    2019-12-25 12:27:17 | 值购助手 | 1,0,2,19125 | 值购助手 | Copyright (C) 2019| ? | 四川智领时代网络科技有限公司| ? | 值购助手 | Svcmpir.dll(停止)
O23 - 服务: yJgYyLtojKFhlS (FSFilter mini-filter driver) - system32\DRIVERS\yJgYyLtojKFhlS.sys    |$X(系统)

好多广告程序,而且有不少是驱动程序级的,手工处理起来工作量可不小。

Bing了一下,发现有不少网友也遇到这个问题,大都和某激活工具有关。

有网友反映可以使用火绒恶性木马专杀工具来解决。

先用bat_do打包了一些可疑文件传回来,再用火绒恶性木马专杀工具来解决。直接运行专杀工具没反应,把程序文件名改了才能运行。

检测出了5个,其中有两个处理失败。让网友重启电脑再试,浏览器首页被劫持的问题已经解决。

把传回来可疑文件做了一下特征提取和在线杀毒扫描,结果挺有意思,国内纯数字的杀软几乎全军覆没,R开头的杀软能检测出大部分,G开头的某个国外的杀软倒是检测出绝大部分。

文件说明符 : C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBExtIE.dll
属性 : A---
数字签名:Shanghai Zheyue Financial Information Service Co.,Ltd.
PE文件:是
语言 : 英语(美国)
文件版本 : 2.0.1.10
说明 : 返钱宝宝Web组件
版权 : Copyright(C) 2011-2016 fanqianbb All Rights Reserved.
产品版本 : 2.0.1.10
产品名称 : 返钱宝宝Web组件
公司名称 : fanqianbb
内部名称 : FQBExtIE.dll
源文件名 : FQBExtIE.dll
创建时间 : 2017-6-3 8:26:27
修改时间 : 2017-6-29 21:12:57
大小 : 1340560 字节 1.285 MB
MD5 : b4b842d849f5a042430e2bfc6317c348
SHA1: C587F9316E745D0FCB60C6638863015BB247ECF6
CRC32: df3b3e22

Rising:Adware.Bang5mai!8.601 (CLOUD)
Qihu360:Generic/Heur.Generic.Hx4CEpsA
https://www.virscan/report/89ae5b664d8e5ce23f0d9d3e00bab5db135af76b253ddf67df807c7720d2f8e9

文件说明符 : C:\Users\Administrator\AppData\Local\tucao\module\TCHelper.dll
属性 : A---
数字签名:Shanghai Ban Ru Tech Co. Ltd.
PE文件:是
语言 : 英语(美国)
文件版本 : 1.2.0.13
说明 : 口水党IE浏览器扩展
版权 : Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd.
产品版本 : 1.2.0.13
产品名称 : 口水党IE浏览器扩展
公司名称 : koushuidang
内部名称 : TCHelper.dll
源文件名 : TCHelper.dll
创建时间 : 2017-4-28 20:4:1
修改时间 : 2017-8-16 17:48:53
大小 : 1984584 字节 1.914 MB
MD5 : fb19593277c152801637c75ae5438813
SHA1: 4853747EA354D6B1435DD6E1E4B2BA199AC7D538
CRC32: 5a2f435d

Rising:Adware.Bang5mai!8.601 (CLOUD)
Qihu360:Generic/Heur.Generic.Hx4CEpsA
https://www.virscan/report/89ae5b664d8e5ce23f0d9d3e00bab5db135af76b253ddf67df807c7720d2f8e9


文件说明符 : C:\Users\Administrator\AppData\Local\tucao\module\TCPlugin.dll
属性 : A---
数字签名:Shanghai Ban Ru Tech Co. Ltd.
PE文件:是
语言 : 英语(美国)
文件版本 : 1.2.0.13
说明 : 口水党插件模块
版权 : Copyright(C) 2011-2016 KouShuiDang Network Technology Co. Ltd.
产品版本 : 1.2.0.13
产品名称 : 口水党插件模块
公司名称 : koushuidang
内部名称 : TCPlugin.dll
源文件名 : TCPlugin.dll
创建时间 : 2017-4-28 20:4:2
修改时间 : 2017-8-16 17:48:54
大小 : 2017352 字节 1.946 MB
MD5 : 1000644ea69f54e7325cf140a2723cae
SHA1: C650E7825BA2C64B043AE8A6009AB72F2FD134B5
CRC32: 5ab0f83d

Rising:PUA.Yantai!8.F640 (CLOUD)
Qihu360:Win32/Heur.Generic.Hx4CmV0A
https://www.virscan/report/955ef60df1a2f83471bc4fcf67785f2ebc2f074ed82c32bf662d2f3a51573931

文件说明符 : C:\Users\Administrator\AppData\Roaming\talimama\tm\Dandelion.exe
属性 : A---
数字签名:TAOBAO (CHINA) SOFTWARE CO.,LTD.
PE文件:是
语言 : 英语(美国)
文件版本 : 1.5.3.0
产品版本 : 1.5.3.0
内部名称 : Dandelion
创建时间 : 2016-2-22 17:10:32
修改时间 : 2016-2-22 17:10:32
大小 : 1975264 字节 1.904 MB
MD5 : 0193b0a034da9e6e2d7ac3e24aed915d
SHA1: 34ABF04C2EBAD4E6847BC752EE50AB18825CB779
CRC32: 827b43e0

Rising:无检出
Qihu360:无检出
https://www.virscan/report/4c80a18a3913db73832f71c36c24c2292af965a93b1f6b61b8f555fcfaed38e0

文件说明符 : C:\Users\Administrator\AppData\Local\fanqianbao\common\FQBSvc.exe
属性 : A---
数字签名:Shanghai Zheyue Financial Information Service Co.,Ltd.
PE文件:是
语言 : 中文(简体,中国)
文件版本 : 1.0.1.39
说明 : 防止返钱订单丢失的服务, 关闭此服务可能出现无法正常获得返钱的情况. 建议自动开启此服务.
版权 : Copyright(C) 2011-2016 fanqianbb All Rights Reserved.
产品版本 : 1.0.1.39
产品名称 : 返钱保护模块
公司名称 : fanqianbb
内部名称 : 返钱保护模块
创建时间 : 2017-4-18 10:26:14
修改时间 : 2017-1-19 19:16:38
大小 : 94904 字节 92.696 KB
MD5 : 83fa9f3e7b5da76e24f3eb9991cd23ba
SHA1: 15C31B0991B31C89936D09E052B15CD57B633AEE
CRC32: c6d4f17d

Rising:无检出
Qihu360:无检出
https://www.virscan/report/4a8ba6a3637e00724bdf5cb97687eaeb4007b20ccf0d9e122bb41c4c242e0d22


文件说明符 :C:\windows\system32\drivers\2345CPort.sys
属性 : A---
数字签名:Shanghai 2345 Mobile Technology Co., Ltd.
PE文件:是
语言 : 中文(简体,中国)
文件版本 : 3.9.0.3616
说明 : 2345安全中心-实时防护
版权 : 版权所有(c) 2019, 2345
备注 : http://www.2345
产品版本 : 3.9.0
产品名称 : 2345安全中心
公司名称 : 2345
内部名称 : 2345CPort
源文件名 : 2345CPort.sys
创建时间 : 2022-7-17 2:55:49
修改时间 : 2019-12-25 12:31:34
大小 : 233992 字节 228.520 KB
MD5 : ab550d58b1c775e46fda7b90e0c1d2f7
SHA1: 33656E3C8C3CA0EA6FE110D25D3EB35A810811A9
CRC32: 643fdca7

Rising:无检出
Qihu360:无检出
https://www.virscan/report/289e7b949d5f306678993f9786ddd64c559d07243fb2b9b7464ed0b9a4222f1f


文件说明符 : C:\windows\system32\drivers\2345NsProtect.sys
属性 : A---
数字签名:Shanghai 2345 Mobile Technology Co., Ltd.
PE文件:是
语言 : 中文(简体,中国)
文件版本 : 3.9.0.3616
说明 : 2345安全中心-系统保护
版权 : 版权所有(c) 2019, 2345
备注 : http://www.2345
产品版本 : 3.9.0
产品名称 : 2345安全中心
公司名称 : 2345
内部名称 : 2345NsProtect
源文件名 : 2345NsProtect.sys
创建时间 : 2022-7-17 2:55:49
修改时间 : 2019-12-25 12:32:54
大小 : 492552 字节 481.8 KB
MD5 : 080ba6ce83854d0c8aa31d2d26325b6d
SHA1: F4DFCB28AA43B112E4284C43AB5C6A378D0E5CD7
CRC32: 693b8633

Rising:无检出
Qihu360:无检出
https://www.virscan/report/3f619a7c0d70ece8627153050488f02315ec9a30161a9a2da5c8709dae27900c

文件说明符 : C:\windows\system32\drivers\2345WebProtectFrame.sys
属性 : A---
数字签名:Shanghai 2345 Mobile Technology Co., Ltd.
PE文件:是
语言 : 中文(简体,中国)
文件版本 : 3.9.0.3616
说明 : 2345安全中心-卫士业务
版权 : 版权所有(c) 2019, 2345
备注 : http://www.2345
产品版本 : 3.9.0
产品名称 : 2345安全中心
公司名称 : 2345
内部名称 : 2345WebProtectFrame
源文件名 : 2345WebProtectFrame.sys
创建时间 : 2022-7-17 2:55:49
修改时间 : 2019-12-25 12:32:31
大小 : 423432 字节 413.520 KB
MD5 : 917208a6a3499398fc1f9c071a6723bc
SHA1: 72AEB95F1A69CE551D034ADD7EB0A70ACD0574EC
CRC32: f8d18ac7

Rising:Adware.2345Cn!8.14C58 (CLOUD)
Qihu360:无检出
https://www.virscan/report/5981a62002b5c0298b61b45d818e9f13ea91bf72a64700482f53666510652ba8

文件说明符 : C:\Windows\system32\drivers\ttmtor.sys
属性 : A---
数字签名:Shanghai 2345 Mobile Technology Co., Ltd.
PE文件:是
语言 : 中文(简体,中国)
文件版本 : 1.0.0.2366
说明 : 2345全盘平台
版权 : 版权所有(c)
产品版本 : 1.0.0
产品名称 : Helper
内部名称 : 2345quanpan
源文件名 : 2345quanpan.sys
创建时间 : 2022-7-17 3:26:53
修改时间 : 2019-12-21 18:23:59
大小 : 133200 字节 130.80 KB
MD5 : 50250c2b36a57669466d3d046ec33c3d
SHA1: 771959E89D493522F4ABB7C2A8945E15674D0647
CRC32: 85d2785c

Rising:Adware.2345Cn!8.14C58 (CLOUD)
Qihu360:无检出
https://www.virscan/report/22234a914c8793b35b50a9590d15c118cb94ce21be6ad670832a073e3fb1deeb


文件说明符 : C:\Program Files (x86)\GSoSoft\GSoInput\1.0.0.2162\GSoInputUpdateSvr.exe
属性 : A---
数字签名:He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si
PE文件:是
语言 : 中文(简体,中国)
文件版本 : 1.0.0.2162
说明 : 极速输入法升级服务
版权 : Copyright 2019 He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si. All rights reserved.
产品版本 : 1.0.0.2162
产品名称 : 极速输入法升级服务
公司名称 : He Fei Yun Biao Xin Xi Ke Ji You Xian Gong Si
内部名称 : GSoInputUpdateSvr.exe
源文件名 : GSoInputUpdateSvr.exe
创建时间 : 2019-12-25 12:28:21
修改时间 : 2019-12-10 12:49:20
大小 : 2014056 字节 1.942 MB
MD5 : fbcdb16fb4eb287a5e5244a607f4b3c4
SHA1: 2702745AECAFBA5E8015944A925E4399AAF1603D
CRC32: 42ecbe13


文件说明符 : D:\Program Files (x86)\tools\active.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2020-1-4 19:56:12
修改时间 : 2020-1-4 19:56:19
大小 : 1676800 字节 1.613 MB
MD5 : f8dfaad847373df04108a16001090c56
SHA1: 930CC2EDFED6782F81CA1AE9BE1CC0BA5D4A873D
CRC32: cf8dc0fc

Rising:Trojan.Rovnix!8.33E (RDMK:cmRtazoFp7r5gCR0YPc)
Qihu360:无检出
https://www.virscan/report/385aea02a62d1cd7cb60f1365fdaacfc8697ce2335f767fbfff5c4cd54e385af


文件说明符 : C:\Users\Administrator\AppData\Roaming\WSSvcHost\Svctoar.exe
属性 : A---
数字签名:Sichuan Zhiling Times Network Technology Co., Ltd.
PE文件:是
语言 : 中文(简体,中国)
版权 : Copyright (C) 2019
创建时间 : 2019-12-25 12:27:17
修改时间 : 2019-12-25 12:26:39
大小 : 755856 字节 738.144 KB
MD5 : fd748779dcab863abfcecc7918d10765
SHA1: E6A0BAD68AC785560BBECEBA02132E2E58087640
CRC32: fcf69ffa

Rising:Adware.Agent!1.C6F0 (CLOUD)
Qihu360:无检出
https://www.virscan/report/cfeeaab51afdd265a8313999759240becc1647182da94cab60e8faccffc333fc

文件说明符 : C:\Users\Administrator\AppData\Roaming\WSSvcHost\Svcmpir.dll
属性 : A---
数字签名:Sichuan Zhiling Times Network Technology Co., Ltd.
PE文件:是
语言 : 中文(简体,中国)
说明 : 值购助手
版权 : Copyright (C) 2019
产品版本 : 1,0,2,19125
产品名称 : 值购助手
公司名称 : 四川智领时代网络科技有限公司
内部名称 : 值购助手
源文件名 : Svcmpir.dll
创建时间 : 2019-12-25 12:27:17
修改时间 : 2019-12-25 12:26:39
大小 : 609424 字节 595.144 KB
MD5 : 4bfd5b2173f963c4245adb1816d9e2da
SHA1: 701FDCBAEAD2D2FEDB48E3E1C8F4A4988F005D7D
CRC32: 94a34ae2

Rising:Adware.Agent!1.CFD3 (CLOUD)
Qihu360:无检出
https://www.virscan/report/ca158158e419382b56af67452de796adcdf0bfd0cf8ca46e9c57f12716e77ae6


文件说明符 : C:\Windows\system32\drivers\yJgYyLtojKFhlS.sys
属性 : A---
数字签名:广州昶兴信息科技有限公司
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2022-7-17 4:46:14
修改时间 : 2022-3-22 20:51:50
大小 : 316104 字节 308.712 KB
MD5 : 8179adbc056b157cc61a712ce2296b04
SHA1: 14C745D3C5C637F00AE24117D1392EC80F706859
CRC32: adab8df4

Rising:Rootkit.AntiAV!1.C7BD (CLASSIC)
Qihu360:Win64/Trojan.Rovnix.H8gAnaUA
https://www.virscan/report/d031ce6a124b334c9cee7fcc79bf83751836124c3e669924380f40dcdc76c542

本文标签: 首页 搜狗 恶意 浏览器 网址