病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« ORA-00923错误关于100开头的IP »

终于发现隐藏的“找找啦”

  这个“找找啦”导航网页www.zhaozhaola.com在很长一段时间内总是出现在家里的台式机里,不仅篡改IE主页,还添加了浏览器收藏夹、快速启动栏、桌面快捷方式等地方,每次清理完,过上一段时间就卷土重来,甚至有一段时间不得不把快捷方式加上只读属性来屏蔽。我始终没有找到根源在哪,开始还以为是家里老人上网误点了什么,直到昨天才发现原来它的窝点是千彩手写板程序HandWriting.exe。

  发现的原因很偶然,是从火绒的日志中看到三个阻止,分别是主页、收藏夹、快速启动栏,只有快捷方式因没有在其系统防御中开启保护,而没有拦截,我想以前如果仔细查找日志的话,就算不是火绒,也应该能发现,主要是并不知道具体篡改的时间而不好查找吧,或者更可能的是修改主页的是正规的程序(手写板)而不被阻止。

  上网查了下找找啦与千彩手写板HandWriting.exe,加上后面的这个限定词搜索范围就精确多了,果然多有反映,确实是官网驱动程序中就有带篡改功能,共4个地方,一是IE主页,通过注册表改的,二是收藏夹,三快速启动栏,四桌面添加IE快捷方式,在快捷方式里加上找找啦网址。其实反编译下程序还可以看到,不止IE,劫持的还有遨游、腾讯等浏览器。

终于发现隐藏的找找啦

  如果一定还要用千彩,网上有个方法,就是用hex editor打开HandWriting.exe,把找找啦网址全用00替换,我做的更狠点,不光替换网址,连前后有关收藏夹、注册表等相关的都替换了,至于有没有什么问题,就再说了,反正保存完,手写功能还在,也能正常用,剩下的就是观察一段看看还有没有找找啦出来。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1997.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2018 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号