6789.com 篡改所有浏览器，求破

http://bbs.kafan.cn/forum.php?mod=forumdisplay&fid=30&mobile=2
指条明路 请点感谢

@vtoexshan 原来是这种啊....我建议你不用折腾了....备份重装吧....

@Midnight 无脑给分

@vtoexshan 569123.com ，被跳转到 web.sogou.com ， IE 中招 打开自动加载，并非设置了首页

没有一个人说到点子上，不就是你安装软件时候，夹带了“大礼包”给你。

卸载流氓软件、卸载病毒、卸载木马，就是了

随便找个小软件，扫描一次系统的情况的 Log （包括各启动项、各服务项、各计划任务、文件关连等等），把 Log 帖出来，自然就一清二楚。

没有一个人说到点子上，不就是你安装软件时候，夹带了“大礼包”给你。

卸载流氓软件、卸载病毒、卸载木马，就是了

随便找个小软件，扫描一次系统的情况的 Log （包括各启动项、各服务项、各计划任务、文件关连等等），把 Log 帖出来，自然就一清二楚。

@vtoexshan 现在冰刃开发者被 360 招了，也就停止更新了，后来说出了另外一个，但是我运行会蓝屏就算了。
你把那个游戏的下载地址发一下，我有空去试试

autoruns 查一下就行了。。。

@BlueFly 用啥软件记录？
@kokutou 已下，等晚上一战
@ThreeBody 记不清从哪里下的游戏，等我晚上找找看

注册表、启动项、服务、相关目录、可疑进程
清理之

注册表 扫描应该无果的 因为都是做跳转的。用 autoruns 扫下 或者 SpybotSDPortable.exe

1.两个月前中了小马激活,主要是 WMI 事件(定时给你的主页设置一下)
乌云上找的详细在这里 http://drops.wooyun.org/papers/15075

2.当时还比较简单,删除 c:/window/OEM.exe
用组策略锁定主页(组策略的锁定优先级很高) http://jingyan.baidu.com/article/d3b74d64a150611f77e6092c.html

3.然后用 WMI 工具查找那个定时更改主页的 WMI 事件,删除掉.由于组策略的原因已经没法再更改我们自己设置的主页,但不删除的话,快捷方式还会被加个小尾巴

搞定了，装 360 离线急救箱，急救箱杀死一个 sys ，手动在 drivers 下看到一个 16 号创建的 sys 不顺眼，粉碎

然后，现在就清净了，，，，，，希望不再复发

@kokutou 看了看，不知道怎么分析，，囧

开注册表访问监控，浏览器相关表项