求助：Chrome 快捷方式打开被毒霸网址大全劫持[已解决]

墨非

不知道怎么回事Chrome 快捷方式打开的时候都会跳到毒霸网址大全页。
chrome 安装目录打开没问题，桌面快捷方式属性里也没多加链接，  桌面快捷方式重建了还是被劫持。

浏览器查看：chrome://version/
发现了这个：

命令行        "c:\program files (x86)\google\chrome\application\chrome.exe" --flag-switches-begin --disable-accelerated-2d-canvas --disable-direct-write --enable-experimental-canvas-features --ignore-gpu-blacklist --flag-switches-end https://www.duba.com/?f=683r&ft=gjlock

貌似劫持了explorer.exe调用chrome的地方，不明白 那个链接是怎么添加上去的？怎么去除啊？


----------------------------------------------------------------------------------------------------------------------------------------------------------------
已解决
参考论坛一位大神的方法，链接：http://www.amobbs.com/thread-5631588-1-1.html
不过，钩子检查工具用了PC Hunter 下载链接：http://www.xuetr.com/?p=191

找到iexplore.exe 的钩子 ：

看到一行  kishmpg.dll - C:\Program Files (x86)\kingsoft\ksdef\kishmpg.dll - Kingsoft Corporation ，应该是这个搞的鬼
删除C:\Program Files (x86)\kingsoft整个文件夹, 无法删除文件重启系统，不操作其他程序再删除。chrome 和IE打开都显示了设定主页

szh_init

卸了金山卫士一家子

墨非

szh_init 发表于 2016-4-1 11:47
卸了金山卫士一家子

重来不用各种卫士和管家，杀毒MSE，清理ccleaner 多年。系统里几乎都是开发工具，访问网页也很小心翼翼的了，不知道怎么进来！

墨非

找到一篇解决方案的博客http://blog.sina.com.cn/s/blog_58d52ec30102wbzs.html
----------------------------------------------------------------------------------------------------------------------------
关于Google Chrome启动时启动页面被毒霸篡改的解决办法

近日在上网寻找破解版新的64位RAR软件软件时，不幸在某下载网站下载了安装程序，本以为能解决RAR未注册屏蔽广告问题，结果发现不但没解决问题，而且还篡改了Google Chrome主页，卸载chrome重装也不能解决问题，主页仍旧被篡改。上网也未搜寻到好的解决方法，一般解决办法都是把chrome的程序文件改名，并把快捷方式指向新的文件名，这样虽然暂时解决问题，但实质上问题并没有解决，一旦chrome升级或重装后，chrome路径又变为原路径，主页忍让被改。

故障现象：主页被篡改为“http://www.duba.com/?un_369374_100”貌似还有另外三个主页轮流换的，记不太清楚了，只要在快速启动栏或桌面启动chrome程序，则启动时主页是被篡改的主页，但是直接在chrome目录下运行chrome程序则正常，而查看chrome程序的快捷方式属性也未发现命令行后面附带恶毒主页。最最烦躁的，无论你用的360还是腾讯，怎么修复，都没办法把主页改回来！

在chrome地址栏内输入：chrome://version

显示下面信息里面“命令行”后多出了个网址，这个很烦躁！

上网查了下系统的相关信息，问题并不是出在chrome本身，而是出在explorer.exe上面，快速启动栏和桌面的图标点击运行后都是由explorer.exe调用指定路径程序来启动的，所以在启动chrome的时候，有个进程加载到explorer.exe，并在运行chrome程序的时候附带上了这个被篡改的主页，因此不管你怎么重装chrome都无用，因为问题根本就不在chrome上面。

经过痛苦的搜寻，在数万个系统事件中缩小范围后，发现一个小东西在作怪，“pntelliTrace.dll”就是这个小东西！每次explorer.exe调用chrome的时候，都在后面加上了可恶的主页，真够流氓的！把此文件删除或更名即可解决问题，系统里的加载设置就不想在去清理信息了，懒得动了，文件灭了就OK了！

这个文件位于“C:\Users\Administrator\AppData\Roaming”目录下，具体位置可能根据不同的操作系统会有变化，后续流氓若更新了估计文件名也会有变化。

该文件貌似是上海的一家流氓公司做的，部分签名信息如下：

签名人名称：Shanghai Wuying Cultural Communications Limited

签名人姓名：Symantec Time Stamping Services Signer - G4

以后发现这个公司出的东西可要小心了！
----------------------------------------------------------------------------------------------------------------------------------
但是在系统里没发现 “pntelliTrace.dll” ， 可能改名称、改路径了！

LearningASM

墨非 发表于 2016-4-1 11:57
找到一篇解决方案的博客http://blog.sina.com.cn/s/blog_58d52ec30102wbzs.html
------------------------- ...

黑名单又多一个签名

sbusr

这几天电脑出现IE莫名其妙的崩了，再打开，主页是毒霸主页，我在internet设置里要改，还跟我说锁定了。然后电脑被装了金山手机助手，果断卸载。