t999主页劫持/篡改木马

最新推荐文章于 2019-06-07 00:40:00 发布
原创 最新推荐文章于 2019-06-07 00:40:00 发布 · 1.4w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #木马 #浏览器 #主页

使用假冒的小马激活工具导致浏览器主页被劫持至t999.cn。此问题由一种注入隐藏进程的老木马引起,它能释放并加载多个驱动,隐藏自身文件,劫持网络并注入DLL模块到指定浏览器和杀软进程中。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

用了假的小马激活,然后就是各种浏览器主页被劫持/篡改到t999.cn
和以前中过招的wmi脚本病毒不一样,这次所有浏览器的快捷方式并没有被改
但是据有的网友用进程监控看到如下
ProcessMonitor可以看到隐藏进程注入
说明了是被注入了隐藏进程,所以也不关注册表的事

Solution:
比较老的木马了,用常见的杀毒软件(开启云查杀或者更新最新的病毒库)都能查杀
我的查出来病毒是c:\windows\system32\drivers\mssafel.sys
看过一些以前的网帖说是mslmedia.sys,看来这个木马也是在与时俱进

该病毒运行后会释放并加载多个驱动,驱动加载后会隐藏自身文件,劫持网络并注入 dll 模块到指定的浏览器和杀软进程,进行浏览器劫持和杀软对抗。
引自:“黑白通吃”的浏览器劫持木马

enzochan
关注
浏览器主页被流氓插件劫持,打开浏览器主页篡改
i_wolfer的博客
05-13 1万+
打开浏览器跳转到其他主页,自己定义的主页被恶意篡改         google、遨游、ie、火狐等浏览器主页明明显示的是自己自定义的主页,打开浏览器却显示到2345网址导航、好123网址导航等其他网页,带有轻度强迫症的我是真受不了被流氓软件恶意篡改,所以花了一上午时间各种操作、最终还原到以前浏览器主页。        解决方法如下:       1、先用电脑上的杀毒软件(例如我用的是QQ
Windows 10浏览器主页篡改至hao123的终极解决方案
nntxthml的博客
05-20 3057
通过本文介绍的三种解决方案,99%的主页篡改问题均可得到解决。对于普通用户,推荐优先使用方法二进行防护;技术爱好者可尝试方法三进行深度修复。操作系统及时更新安全软件实时防护良好的软件下载习惯如遇顽固性劫持,建议使用专业系统修复工具或联系技术支持,切勿随意下载不明修复程序。通过建立多层次的安全防护体系,可有效杜绝此类问题的反复发生。
浏览器无法跳转主页、被劫持100%解决方法(修改版) csdn下载
01-19
解决各浏览器设置了主页但是打开浏览器无法跳转主页的方法。无视被劫持。无视任何被木马侵入导致主页异常。支持任何浏览器(修改版)
[乐意黎原创]关于IE,Firefox, Chrome等浏览器被t999.cn网页和2345浏览器流氓操作劫持的修复方法
打杂人
11-27 1万+
浏览器被t999.cn网页和2345浏览器,变为默认主页,无法取消,更改。 昨晚 帮某某使用了网上下载 KMS激活工具,想把office激活一下,安装并操作完成之后,打开了word没有再提示说要激活了,以为激活完成了。 没想到问题还没完, 后来打开浏览器,就发现浏览器主页变成了www.t999.cn。 如下所示, 太烦人了。 Chrome, IE, Firefox, 打开都有是如此。我就知...
IE、Chrome等浏览器被http://www.t999.cn流氓劫持的修复方法
菜鸟葫芦娃
06-01 4077
今天重装了系统,结果每次打开IE和Chrome浏览器,都会跳转到一个网址:http://www.t999.cn 这样太烦人了, 如下图所示: 修复的方法如下: 同时按下Win+R 键 输入regedit 打开注册表,在注册表找到如下的路径(下面的路径有的电脑只有一个,有的有两个,自己都搜索下即可) 我的电脑发现的只有下面的第一个 HKEY_LOCAL_MACHINE\SYSTEM\Curre...
浏览器被T999劫持,默认主页无法改变
yangjun12yangjun的博客
12-21 3万+
浏览器被T999劫持,默认主页无法改变 查看文件路径:C:\Windows\System32\DRIVERS\mssafel.sys 右键>属性,时间不对,数字签名为上海域联软件技术有限公司 Win+R,输入regedit打开注册表,注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mssafel 注册表名称:ImagePath
浏览器被t999网站劫持无法修改默认网站解决方法
热门推荐
东边有头牛
05-20 3万+
HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \mssafel
JB-T999-1977管接头用铰接螺栓.pdf
11-23
《JB-T999-1977管接头用铰接螺栓》是中国机械工业联合会发布的一项标准,主要用于规范管接头与铰接螺栓的设计、制造和使用。这项标准详细规定了管接头用铰接螺栓的尺寸、材料、性能要求以及检验方法,确保了在实际...
麦科TC-700写频软件 XD-T999Setup 功能解析
压缩包子文件的文件名称列表中提供了一个具体的文件名“XD-T999Setup.exe”。这个名称表明这是一个可执行文件,通常这类文件用于安装或升级软件程序。"XD-T999Setup"很可能就是这款写频软件的安装程序名称。".exe"是...
国内各银行信用卡系统概况表
07-01
国内各银行信用卡系统概况表国内各银行信用卡系统概况表国内各银行信用卡系统概况表国内各银行信用卡系统概况表
select count(AUDITED_UNIT) from( SELECT AUDITED_UNIT_IDS, AUDITED_UNIT_NAMES AS AUDITED_UNIT FROM ( SELECT SUBSTRING_INDEX(SUBSTRING_INDEX(f.involved_department_accounts, ',', b.help_topic_id + 1), ',', -1) AS AUDITED_UNIT_IDS, SUBSTRING_INDEX(SUBSTRING_INDEX(f.involved_department_names, ',', b.help_topic_id + 1), ',', -1) AS AUDITED_UNIT_NAMES, f.PROBLEM_ID, f.PLAN_YEAR, f.UNIT_ID, f.PROJECT_SOURCE FROM ( SELECT '1' AS PROJECT_SOURCE, f.involved_department_accounts, f.involved_department_names, f.ID AS PROBLEM_ID, P.PLAN_YEAR :: INTEGER AS PLAN_YEAR, P.unit_id AS UNIT_ID FROM iam_fact_confirmation_problem f JOIN iam_audit_project P ON f.PROJECT_ID = P.ID JOIN iam_help_topic b ON b.help_topic_id < (LENGTH(f.involved_department_names) - LENGTH(REPLACE(f.involved_department_names, ',', '')) + 1) UNION ALL SELECT '2' AS PROJECT_SOURCE, f.involved_department_accounts, f.involved_department_names, f.ID AS PROBLEM_ID, EXTRACT(YEAR FROM to_timestamp(P.creation_time / 1000)) AS PLAN_YEAR, P.unit_id AS UNIT_ID FROM iam_external_problem f JOIN iam_external_project P ON f.PROJECT_ID = P.ID JOIN iam_help_topic b ON b.help_topic_id < (LENGTH(f.involved_department_names) - LENGTH(REPLACE(f.involved_department_names, ',', '')) + 1) ) f WHERE f.PLAN_YEAR >= :startYear AND f.PLAN_YEAR <= :endYear AND f.UNIT_ID IN (:unitIds) ) t GROUP BY AUDITED_UNIT_IDS, AUDITED_UNIT_NAMES ) t999 这个在查询中 报错 ... 174 common frames omitted Caused by: org.postgresql.util.PSQLException: [10.0.116.108:64607/b.hd.com/172.20.97.226:5432] ERROR: syntax error at or near ":" 位置:749 at org.postgresql.core.v3.QueryExecutorImpl.receiveErrorResponse(QueryExecutorImpl.java:2933) at org.postgresql.core.v3.QueryExecutorImpl.processResults(QueryExecutorImpl.java:2655) at org.postgresql.core.v3.QueryExecutorImpl.execute(QueryExecutorImpl.java:376) at org.postgresql.jdbc.PgStatement.runQueryExecutor(PgStatement.java:561) at org.postgresql.jdbc.PgStatement.executeInternal(PgStatement.java:538) at org.postgresql.jdbc.PgStatement.execute(PgStatement.java:396) at org.postgresql.jdbc.PgPreparedStatement.executeWithFlags(PgPreparedStatement.java:171) at org.postgresql.jdbc.PgPreparedStatement.executeQuery(PgPreparedStatement.java:127) at com.zaxxer.hikari.pool.ProxyPreparedStatement.executeQuery(ProxyPreparedStatement.java:52) at com.zaxxer.hikari.pool.HikariProxyPreparedStatement.executeQuery(HikariProxyPreparedStatement.java) at org.hibernate.engine.jdbc.internal.ResultSetReturnImpl.extract(ResultSetReturnImpl.java:57) ... 188 common frames omitted
最新发布
06-28
) t999 WHERE f.PLAN_YEAR >= $1 -- 第一个参数 AND f.PLAN_YEAR $2 -- 第二个参数 AND f.UNIT_ID IN ($3) -- 第三个参数 ``` Java 代码中设置参数: ```java Query query = entityManager.createNativeQuery...
如何解决浏览器主页被t999.cn劫持
Lucien的博客
02-07 2万+
win+R——>regedit——>HKEY_LOCAL_MACHINE——>SYSTEM——>CurrentControlSet——>Services——>删除Hyipte——>重启
IE浏览器默认主页篡改,无法改回
落樱小筑
04-07 6987
两个方法,一个针对于快捷方式,一个针对于快捷启动栏   方法一: 在左下角点击“开始”,或者使用快捷键“windows+R”(windows键就是键盘上带有“windows窗口图标”的键),出现“运行”,输入“regedit”   出现“注册表编辑器”界面,找到下面的路径: XP: 【HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-0
记一次t999网络劫持的处理经历
weixin_30747253的博客
06-07 229
今天偶然整理一些激活工具的时候突然遇到打开chrome主页被T999.cn劫持的问题,不用说肯定是中毒了,那么我们需要查杀,没有安装杀毒软件,所以用的Windows defender扫描的危险,结果扫描不到,然后看网络上的介绍说电脑管家能查杀出来,就安装了电脑管家,但是查杀找到了病毒文件的位置,C:\Windows\System32\drivers目录下,根据日期排序,基本上就能锁定了,然后博主不...
小马 KMS10激活系统后的浏览器小尾巴分析与清除
漂泊的心
03-25 2万+
小马激活KMS10 浏览器总是添加小尾巴, 杀毒又查不到病毒, 这里教你怎么解决
google浏览器主页篡改劫持,锁定。
cuiguopeng553的博客
06-10 8154
网上很多说法是在设置里修改,可是当我们设置完依旧没有效果,而且也不想用第三方的杀毒软件进行处理。就拿Google浏览器来说,解决方法很简单。在桌面找到Google浏览器的图标,右击-&gt;属性-&gt;打开文件所在位置,看到了Google浏览器的源文件,双击打开,如果之前你重新设置了主页,就会发现在这里打开浏览器主页是正常的。接下来就是删除桌面快捷方式,然后从源文件-&gt;右击-发送-快捷方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值