|
||
|
Master Member
  加入日期: Apr 2001 您的住址: 高雄
文章: 2,247
|
hao123首頁綁架處理實錄
話說今年,我終於將系統從98更新到2k,使用上雖然便利了不少,但也帶來一些,很久不曾踫到的木馬或病毒問題。
我的主力瀏覽器是Opera與Greenbrowser,IE很古老的6.0。以前總覺得IE古老沒啥關係--反正我不用它。但今天應家人要求,要將統一發票對獎的網頁放在桌面上時,赫然發現IE的首頁被hao123綁架了…… 試著改看看,重開,一樣。 用gpedit.msc,先改回yahoo首頁,趕緊關閉首頁修改。再開一次,無效。 忘了群組設定原則吧,直接從regedit著手,先查網路上的解決方法。一般都著眼於: HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main 以及 HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 裡面的Start Page數值修改 我的情況呢,第一個數值果然是hao123,不過第二個數值似乎是MS的原始設定沒變。很高興地修改第一個數值…重開IE,嗯,果然好了。 但過幾分後再開…咦怎麼又回到hao123了? 經過一個多小時反覆地try,發現一件奇事,regedit打開沒關的狀態下,每隔一段時間(沒仔細數可能是1分鐘),CURRENT_USER下的第一個數值都會自動變回hao123(要按"-"號收攏,"+"號再打開才看得出來)。 好吧,看樣子有個常駐的玩意兒,在定期覆寫登錄,找看看: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 找到一個Internat,查了網路上的說明,這個似乎是跟輸入切換有關的,檢查大小也才二十幾k,沒到兩百多k(有人說太大就有問題),可能是沒問題的吧。 再查: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 裡頭有個Synchronization Manager,數值是mobsync.exe /logon。找網路上的說明是同步的啥玩意兒……狐疑?我沒啥需要同步的啊?,看來很可疑哦。 於是祭出msconfig(我知道2k沒有,不過為求方便,剛灌好就從xp複製過來用了),從啟動那邊關掉,重開機,再改一次Start Page,好了,不會再被覆寫了,證明兇手在此。 ****** 結語:現在的首頁綁架手法真高明,連怎麼中的都莫名其妙--我安裝的程式裡面,完全沒有簡字的對岸程式啊(有的案例說移除那一類程式就痊癒了)。雖然似乎沒啥危害,但看著總覺礙眼,僅將此此事件紀錄下來,提供給同樣困擾的朋友參考。
__________________
簽名檔真是礙眼…還是讓版面乾淨點吧! |
|||||||
2012-05-31, 12:23 PM
#1
|
|
|
*停權中*
加入日期: Sep 2004 您的住址: 懸崖邊
文章: 1,462
|
2000應該沒更新了吧
安全性上還是xp比較好吧 |
||
|
2012-05-31, 01:28 PM
#2
|
|
|
*停權中*
加入日期: Sep 2011
文章: 3
|
這篇文章讓我一而再的確認發文日期~~
 |
|
2012-05-31, 01:33 PM
#3
|
|
|
Major Member
 
加入日期: Mar 2009
文章: 126
|
對於一個很落後的作業系統
真是一個很好的經驗分享 |
|
2012-05-31, 01:40 PM
#4
|
|
|
Advance Member
加入日期: Feb 2003 您的住址: 台北縣
文章: 381
|
應該使用 HijackThis 軟體就能解了,比較方便簡單。
|
|
2012-05-31, 01:44 PM
#5
|
|
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
IE6允許未經授權的系統變更
IE也允許經過授權的系統變更 所以一般我不推薦使用舊版的IE 你這個很像是經由javascript的方式是感染 我沒有把握確定,因為IE6對這方面很沒輒 我是建議瀏覽器可以改Chrome 不論Chrome本身或是外過甚至擴充套件 都可以在Sandbox內受保護
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3  I Always Get What I Want. |
|
2012-05-31, 01:47 PM
#6
|
|
|
Junior Member
加入日期: May 2005 您的住址: Autobahn, Deutschland
文章: 743
|
我也想說改用Chrome會好很多...
沒想到還有人在用IE6啊,我的IE9也幾乎是沒開過了都用Chrome居多。 BTW使用Chrome上網中毒/木馬的風險高不高啊? 有時看到Google搜尋出來的結果,網址下面寫著「這個網站可能會侵害你的電腦」 還是沒有勇氣確認Chrome會不會中毒!  引用:
|
|
|
2012-05-31, 09:34 PM
#7
|
|
|
Advance Member
加入日期: Feb 2003 您的住址: 追尋北國之春、尋覓國境之南
文章: 486
|
引用:
嗯~~ 我實在很想請你對台北市醫聯合的資訊人員說明這危害 可是許多RIS、HIS系統還只能用XP SP3綁 IE6 一旦掛上IE8就整個次系統崩潰,只能重灌 想想去年單位新進來的DELL I5 W7機只能降級XP SP6 IE6 其實單位裡的IE6都被我偷偷的升級到IE7 瀏覽網頁才好一些
__________________
國小的門面又改了 漂亮的兩層紅磚建築早已灰飛湮滅 大門對面的滷肉飯攤販 如今已轉型成鬍鬚張連鎖店總店 國中的舊址面目全非 改成醜陋的柏油停車場,只剩老樹在嗚咽 2005.06 醜陋的柏油停車場正拆除,老樹已無法嗚咽 2006.09 廣 告已經出現,台北新地標--京站 2011.07.04 我在君品17樓吃小外甥女的雙滿月酒 國中新校址在舊市府後方 舊市府改成當代藝術館 我還是懷念20元的市府員工午餐 怎麼全變 我的青春 我的記憶 台北還是我的 【 家 】 嗎???? |
|
|
2012-05-31, 11:21 PM
#8
|
|
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 6,968
|
引用:
目前瀏覽器安全性上做最好的是Chrome再來是IE9 兩者都有用不同層面的Sandbox保護 Firefox我上個月才中了jre的漏洞攻擊,被裝了fake AV... 基本上Chrome很難被穿,去逛毒網一般來說也沒有關係 要穿過Chrome,必須至少要有兩個可以利用的漏洞 一個是本身排版引擎的漏洞,允許你用任意腳本提權 或是外掛漏洞,例如adboe reader或flash player 最後是sandbox漏洞,沒有這個漏洞,有前面兩個漏洞也沒有用 話雖然如此,但一般我還是建議不要以身試火 凡事皆有例外.... 引用:
綁系統的solution,誰去講應該都沒什麼用 系統也不可能推翻,所以我比較推薦用閘道防毒 直接在gateway就擋掉有危險的東西 比起直接在電腦上妝防毒軟體 管制更方便,不用擔心誤報亂亂殺系統檔案 也不會因為水土不服造成系統性能低落,或出現奇怪相容性問題 
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3 I Always Get What I Want. 此文章於 2012-06-01 12:27 AM 被 野口隆史 編輯. |
||
|
2012-06-01, 12:24 AM
#9
|
|
|
Advance Member
加入日期: Feb 2003 您的住址: 追尋北國之春、尋覓國境之南
文章: 486
|
野口大
謝謝你的專業分享  想請問一下 OPERA 11.64 以目前的網路環境 在眾多瀏覽器裡其安全性排行在哪?!
__________________
國小的門面又改了 漂亮的兩層紅磚建築早已灰飛湮滅 大門對面的滷肉飯攤販 如今已轉型成鬍鬚張連鎖店總店 國中的舊址面目全非 改成醜陋的柏油停車場,只剩老樹在嗚咽 2005.06 醜陋的柏油停車場正拆除,老樹已無法嗚咽 2006.09 廣 告已經出現,台北新地標--京站 2011.07.04 我在君品17樓吃小外甥女的雙滿月酒 國中新校址在舊市府後方 舊市府改成當代藝術館 我還是懷念20元的市府員工午餐 怎麼全變 我的青春 我的記憶 台北還是我的 【 家 】 嗎???? |
|
2012-06-01, 12:29 AM
#10
|
|
