手动查杀浏览器劫持病毒

察觉到病毒

很早前入手了个平板电脑，型号是台电 Tbook 16 Pro (E5C9)，没装杀毒软件，使用了半年没察觉有什么问题。结果最近发现，使用必应搜索，输入关键词后点击搜索会跳转到百度搜索，如下图所示，并且地址栏中很明显有推广链接。后来发现，在平板上任意浏览器中输入baidu[dot]com会自动跳转到www[dot]baidu[dot]com/?tn=56080572_19_hao_pg，于是意识到电脑里有病毒。不过浏览器主页没有被劫持。（由于我主要用必应搜索，不是每次搜索都跳到百度，因此半年内都没察觉到）

病毒行为分析

检查发现病毒没有篡改主页等，只是在网络设置中添加了代理设置，如下图所示。它将“自动检测设置”，“使用自动配置脚本”，“使用代理服务器”三个开关给打开了，并且代理服务器设置成了本机的一个本地端口。如果我把这三个开关关掉，发现浏览器工作正常了，必应不跳转百度了，直接输入百度网址也不自动加推广码了。不过这个病毒每隔几分钟就会又打开代理设置。并且每次开机这个本地端口还不一样。不把它解决掉不甘心。
PS：本文遇到的病毒和这篇文章 描述的病毒木马有些像。

病毒查杀

• 既然是监听一个本地端口，我想知道这个端口跟那个进程有关。这次代理被病毒设置成了127.0.0.1:64504，使用netstat获得PID，再用tasklist查找，我把跟这个端口有连接的端口也查了，结果如下，查到的都是些系统的进程，配合使用ProcessHacker，发现这些程序文件的签名也都正常，只能想其他办法了。

C:\Users\Js>netstat -ano | findstr "64504"
 协议 	 本地地址         		 外部地址   			     状态
  TCP    0.0.0.0:64504          0.0