一、观察劫持现象
点击IE浏览器
二、尝试手动恢复浏览器首页
打开IE设置,选择Internet选项
关闭IE浏览器
再次打开IE浏览器,首页依然被劫持。
三、检查系统驱动
1、使用微软套件autoruns工具
打开桌面tools文件夹,打开autoruns64.exe
同意申明
autoruns打开后会列出系统所有的开机加载项。 重点关注红色项、黄色项,或签名有问题的项
如图,红框,标注的部分,显示为(Not verifiedt)Microsoft Corporation,说明这两个声称是微软的文件,但并没有获取微软的签名。
尝试删除这两个文件。
提示标记为已删除
重启计算机,两个文件仍然存在
可以推定这两个服务一定是“非正常的”
尝试 删除文件
右击 选择jump to image 打开文件路径
发现无法直接查看文件
查看
取消勾选 隐藏受保护的操作系统文件
勾选 显示隐藏文件
文件夹仍为空
使用驱动级工具
找到病毒文件
发现没有校验签名
在文件中
找到两个病毒文件
右击勾选
删除后组织文件再生
然后强制删除
重启计算机
打开autoruns
发现病毒文件变成黄色
然后再尝试删除
浏览器不再跳转