1. 敘述問題:
我前一陣子發現電腦"突然"被hao123綁架(我沒安裝QVOD)
我先去刪除regedit內的所有hao123,然後把firefox內的設定改回來
後來就可以了,但是當我重開機之後hao123就又回來了
我就想說該不會是之前安裝的軟體出問題
我就去控制台內把一個製造廠商是簡體字的軟體刪除,然後一樣是整個清理
直到剛剛,發生了超詭異的狀況
我開機後打開firefox,發現被hao123綁架,我就關掉網頁,再重開,就又好了
所以現在似乎是只發生在 "開機後第一次打開網頁時" 會發生綁架,第二次就沒事
查regedit也完全找不到任何hao123
我在C槽搜尋,只找到三個檔案有關(但是昨天應該已經刪掉了)
2. 系統資料:
第一個:
C:\Users\Wang\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support
\flashplayer\sys
內含 #s1.hao123img.com
第二個:
C:\Users\Wang\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\4GZNSDAR
內含 s1.hao123img.com
第三個:
C:\Users\Wang\AppData\Roaming\Macromedia\Flash
Player\#SharedObjects\4GZNSDAR\s1.hao123img.com\index\swf\LocalStorage.swf
內含:$hao123$.sol
以上三個是我目前在電腦內唯三找到與hao123有關的檔案
3. 分析報告:
剛剛用Combofix分析之後的結果如下:
https://mega.co.nz/#!4FFEWDAa!pqUVJstlHhc4_BYNOf0sOPeYmzz1FNrbWhjU6yzVHj4
不知道各位鄉民們是否有遇過類似的情形??
只有在第一次開網頁時被綁架,雖然影響不大,但這也代表著我的電腦被控制著 O口O