下载浏览器劫持病毒,以及驱动工具
一、观察劫持现象
1、打开桌面上的chrome浏览器
发现浏览器首页域名为hp1.dhwz444.top
然后快速的会跳转到 hao123.com
打开软件
进入
尝试删除这两个文件
右击delete 尝试删除
刷新页面
删除失败 仍然存在
再次删除,提示标记为已删除
重启计算机,两个文件仍然存在
可以推定这两个服务一定是“非正常的”
尝试 删除文件
右击 选择jump to image 打开文件路径
发现无法直接查看文件
查看
取消勾选 隐藏受保护的操作系统文件
勾选 显示隐藏文件
文件夹仍为空
使用驱动级工具
找到病毒文件
发现没有校验签名
在文件中
找到两个病毒文件
右击勾选
删除后组织文件再生
然后强制删除
重启计算机
打开autoruns
发现病毒文件变成黄色
然后再尝试删除
浏览器不再跳转