安装完win10后就有一个网址死活赖在系统里不走,就是www.927927.com/?Axxxx,打开IE和Edge就就是它,然后很快就转到web.sogou.com/?xxxxx,这两个网址后面的x代表不同的数字组合,应该是推广编号,前面927927后的面的数字在我每次清理后重新出现时都会改变,以下是我的一系列清理历史。
最早装完win10,发现927927后,以为是装win10时用的PE带来的,或者是激活工具带来的,没太在意,找一找IE快捷方式属性,改属性的大多是激活工具,而www.927927.com却是在注册表里,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main、HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main,在win10的注册表编辑器里这两地能很快速的访问,在它们的右键菜单里就是访问对方的命令,还有一地是HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer,这是32位IE的地盘,我装的是64位系统,所以还有32位的IE(在C:\Program Files (x86)\Internet Explorer)需要清理,在main的右边,找这个网址,如Default_Page_URL、First Home Page、Start Page(这个就是Internet选项里的主页设置,所以仅在那里改是没用的,其它地方的值依然被篡改并劫持IE主页或打开IE后跳出的第一个网页)等,改成自己想要的网址就行,或者改成空白页:about:blank,或者空白标签页:about:tab。
以上修改也是目前网上所说的通用修复方法,万一遇到不让改的情况,设置一下main的权限就是。但是这样的修改对我遇到的这个情况并不彻底,改好后能消停一段时间,但没几天,长一个月,短一两天,它又自己回来了,不得不再改一次。当发现927927重复出现后,我开始怀疑电脑上有什么隐藏的程序在监视,所以一度再次怀疑到激活工具。为了监视系统修改情况,我用上了Procmon,但连续几天下来都没有抓到修改对应注册表的黑手。
而每次927927清理后重复出现似乎都在win10蓝屏(win10似乎比较喜欢蓝屏,每次蓝屏会自动重启,然后就安宁一阵,有时重启好几次,直到进入修复界面,不得不使用系统还原才能搞定,不知道是内存兼容还是新补丁引起的问题,每月补丁日后都是让我担心的时间,题外话不提)后,一启动这个网址就出现,说明它并不是中途上车,而是在从起点站就来的,这用Procmon就难监视了,特别是Procmon启动监视默认日志保存在系统盘占用大量空间,让我不得不停用它。加上蓝屏重启恢复这个因素,我又怀疑上win10是不是有什么机制在刚安装好时保留了初始设置,而初始设置是不是已经被污染。
这个污染的想法来源于网上所说的927927网址来源于老毛桃PE,我用的正是这个PE,但是我翻了好久也没找到初始设置存在哪里,连系统还原也清理掉了,927927仍然顽固地出现,后来我找到C:\Windows\System32\config,这里保存着当前的系统配置(注册表),在其中的RegBack文件夹里应该是上一次稳定运行时保留的注册表信息,在其中几次清理干净后再从注册表编辑器里挂载其中的software(即HKEY_LOCAL_MACHINE\SOFTWARE),发现上一次的信息里就有927927的网址,用pe启动再挂载software,修改过来,保存回去,但几天再次验证这个方法不行,927927又回来了。
最后我决定重现犯罪现场,用那个PE到虚拟机再装一次WIN10(PE启动虚拟机就是把U盘作物理硬盘添加到虚拟机中),终于发现原来是里面带的window安装器的毛病,在它安装install.wim后会把私货带入系统,其中一个vbs脚本文件放到C:\ProgramData\下的开始菜单(C:\programdata\microsoft\windows\start menu\programs\startup\)启动文件夹内(文件名是随机字母数字组合,后缀名是.vbs),在系统第一次启动时就开始运行它,它将启动c:\windows\底下一个也是随机字母数字组合的.exe程序,当然执行完这个脚本文件就删掉自己看不到了,我是在系统第一次启动前就去找才找到它的,那个随机文件名的exe程序也会在执行完后消失(怪不得曾经尝试全盘扫描,果不出所料杀毒软件们没有发现任何有用的东西),但会留下一个驱动放在c:\windows\system32\drivers\下,文件名是usbxxxx.sys,xxxx是四位数字组合,看一下文件属性,日期和其它系统驱动就不一样,还有数字签名,如图,那个拼音,河池市077网络科技有限公司?
除了落下这个usb开头的驱动外,当然还有添加注册表的行为,就是那一堆www.927927.com,如果检测到还有其它浏览器,一样改,同时还在浏览器收藏夹里加上好多的广告链接网址,这些网址倒是在我清理一次后再也没出现过,看来留下的usb开头的驱动只有劫持IE的功能,不断重复添加927927。
为了确实一点,又用那个安装器(注,不是所有的此类安装器都是这样,但挟带私货的还是有的)装了个WIN7,一样结果,没跑了。找准对象就可以动手了,干掉usb开头的驱动并删除文件。累!(注意有一正常驱动文件usb8023.sys,也在同一位置,但其为微软文件,且文件日期与其它微软文件是一样的,不要误删,要仔细检查一下文件属性,对比周围的文件日期,病毒文件的日期一般会比它新)
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1755.html
