1. 叙述问题:
我前一阵子发现电脑"突然"被hao123绑架(我没安装QVOD)
我先去删除regedit内的所有hao123,然后把firefox内的设定改回来
后来就可以了,但是当我重开机之后hao123就又回来了
我就想说该不会是之前安装的软件出问题
我就去控制台内把一个制造厂商是简体字的软件删除,然后一样是整个清理
直到刚刚,发生了超诡异的状况
我开机后打开firefox,发现被hao123绑架,我就关掉网页,再重开,就又好了
所以现在似乎是只发生在 "开机后第一次打开网页时" 会发生绑架,第二次就没事
查regedit也完全找不到任何hao123
我在C槽搜寻,只找到三个档案有关(但是昨天应该已经删掉了)
2. 系统资料:
第一个:
C:\Users\Wang\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support
\flashplayer\sys
内含 #s1.hao123img.com
第二个:
C:\Users\Wang\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\4GZNSDAR
内含 s1.hao123img.com
第三个:
C:\Users\Wang\AppData\Roaming\Macromedia\Flash
Player\#SharedObjects\4GZNSDAR\s1.hao123img.com\index\swf\LocalStorage.swf
内含:$hao123$.sol
以上三个是我目前在电脑内唯三找到与hao123有关的档案
3. 分析报告:
刚刚用Combofix分析之后的结果如下:
https://mega.co.nz/#!4FFEWDAa!pqUVJstlHhc4_BYNOf0sOPeYmzz1FNrbWhjU6yzVHj4
不知道各位乡民们是否有遇过类似的情形??
只有在第一次开网页时被绑架,虽然影响不大,但这也代表着我的电脑被控制着 O口O