【扒开】关于赢驴准心劫持浏览器首页的病毒类行径

EMMM，我是个比较喜欢玩游戏的吧，有的游戏准心不显示，所以要弄个准心。

使用赢驴准心以来都是好好的，但是昨晚在玩的时候突然提示更新，我本人是极度讨厌更新的，所以一般看到更新都会选择取消。

然而，事情并没有想象中那么美好。

是的，如同标题所说的，昨晚我的首页被劫持了，我还以为看错了，今天起床发现现象依旧存在，期间安全软件没有报警，这使得我的冷汗流了一下，到底是什么病毒能穿过我电脑中的安全软件劫持了首页呢？会不会有所谓的恶意操作呢？

我的安全软件用的是火绒。

首先说说浏览器首页是怎么被劫持的吧。

我自己用的是360极速浏览器，打开浏览器，过个几秒，

就会在地址栏里黏贴一个网址：www.oao123.com，

然后跳转到https://www.hao123.com/index.htm?tn=29065018_55_hao_pg。

其次说说怎么找这个病毒吧，首先打开任务管理器发现了一个比较陌生的进程

右键打开文件位置，进入到指定位置后看着挺像毒的啊，虽然火绒杀不出来

关闭这个进程（eaha.exe）后就没有出现以上情况了。

最后分析一下吧

看一下属性

 

DY.INC跟Dongyi.Tech

 看样子这两个东西是出自同一个公司（会社）的手下啊

好在这两个程序都没有造成大的破坏（也就劫持下首页）

软件也没有关于劫持的设置，也没有经过用户的同意，所以判定为恶意行为应该是没问题了吧

 

关于开机自动运行，上面这个软件更新后自动勾选了（其次我也以为更新也就更新一些没什么卵用的功能，还真的是没什么卵用还会给用户烦恼的功能），如果你站在用户的角度下，我又不是每天玩游戏，为什么要开机启动？

虽然我没测试，但我认为应该是开机启动好释放上面的eaha.exe从而劫持用户的浏览器好赚钱啊。

接着说怎么处理这个病毒吧

打开任务管理器把这两个进程关掉

然后到eaha.exe的位置删除整个文件夹

还有就是你这个软件我也不想再用到了，有多远滚多远（吃相难看的玩意），删除：

接着处理开机启动项

有工具的可以直接用工具

没工具的手动也可以，都一样的

我有火绒，有启动项管理工具

删除：

好像只有：禁止启动

其次我还是希望各类安全软件能处理这类行为吧，懒得我们这些用户动手，我可是很懒的，懒得我整天上班想着怎么偷闲，加快工作的效率，虽然我工作的确是挺闲的。