【已解决】Chrome浏览器被2024年新版流氓软件劫持,总会自动打开hao.360.com和so.com主页
最近我家里电脑的 Chrome 浏览器每次启动时都会自动打开 hao.360.com (有时是 www.so.com)主页。此时在浏览器地址栏手动输入 chrome://version ,可见命令行被强制加上一个 360 链接:
我在网上找解决方法,看到大部分都是复制粘贴的旧文章,无非是检查 Chrome 浏览器快捷方式的“目标”命令后面有没有被做手脚,带上网址啥的。然并卵,因为我的 Chrome 快捷方式是干净的,chrome.exe 后面没有任何参数,如图:
还有方法说运行 regedit,检查系统注册表以下三个路径:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Internet Explorer\Main
把 Main 里面的 Start Page 键删除。我电脑的注册表以上三个路径确实有 360.com 的 Start Page 键,可是删除它们之后并没有对 Chrome 有任何影响,毕竟这方法只是针对 IE 浏览器的。
更离谱的是,在开始菜单的“运行”里输入 chrome 浏览器的路径:"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe",不带任何参数,结果 Chrome 浏览器仍会自动打开 360 主页。
只有在命令行提示符界面里运行上述路径,Chrome 浏览器才不会自动打开 360 主页。
就连开始菜单的运行命令也被恶意监测,我敢肯定是系统被注入了恶意代码,一直监测 Chrome 的启动。看来2024年新版的流氓软件出新招了,过去的防范办法已不管用。
我花了一整天排查和调试,终于铲除根源,请看下面调试的记录。
1、检查系统进程有没有异常
我逐一审视任务管理器的进程列表,留意到一个 Wallpaper.exe 的程序,位于 GameAssistant 的目录:
点击一下任务管理器详细信息的“命令行”进行排序,可见还有其他位于 GameAssistant 目录的程序在后台运行:clean.exe 以及 LocalServer.exe。
这个 GameAssistant 是手游助手,我关闭手游助手,但 clean.exe、LocalServer.exe、Wallpaper.exe 仍驻留在内存中运行。
看到这个 LocalServer.exe 的名称我已怀疑是手游助手作怪。于是手动结束这仨进程,关闭 Chrome 浏览器再打开,结果 Chrome 浏览器依然自动打开 360 主页。
如果你不再需要手游助手,那就干脆卸载手游助手,Chrome 浏览器被劫持的问题就能彻底解决,下面的部分就不用看了。
但这个软件对我来说还是有用处的,如果你像我一样依赖这个软件,那就请继续往下阅读。
2、检查手游助手 GameAssistant 目录
手游助手的安装路径一般是:C:\Users\Administrator\AppData\Local\GameAssistant
以下的文件管理器截图都是 Total Commander 的界面。
该目录赫然可见有 360 开头的文件,所以 Chrome 浏览器被劫持的源头绝对来自这里。
经过我多次重启系统、关闭浏览器、重启浏览器,在 GameAssistant 目录里点击按日期排序,我发现一个现象:每次退出 Chrome 浏览器,下面的目录都会刷新为最新的时间:
C:\Users\Administrator\AppData\Local\GameAssistant\sehelper
C:\Users\Administrator\AppData\Local\GameAssistant\wd3、抓住劫持浏览器的把柄
GameAssistant 目录下的 sehelper、wd 两个子目录是重点怀疑对象。
首先看 sehelper 里面的文件:
有 sehook.dll、sehook64.dll文件,“se”是 360 的标志(Safe Explorer),“hook”是钩子,很明显是专门注入恶意代码的文件。
果断删除 sehelper 目录。
再来看 wd 目录:
这里有 sesafepro.dll 等文件,该文件名可让人联想到此地无银三百两。其他的文件我猜不出是什么意思,尝试删除 wd 目录,结果呢……提示无法删除,被其他程序占用。
好了,这下抓到把柄了,劫持浏览器的根源在于 wd 目录。
既然不能整个目录铲掉,那就在该目录下逐个文件删除,直到剩下有两个文件提示被占用。
可以锁定 libnda.dll 劫持了资源管理器(explorer.exe),uniconft64.dll 劫持了 Chrome 浏览器。
4、斩草除根
(1)首先关闭 Chrome 浏览器,使得 uniconft64.dll 不被占用。
(2)按 Ctrl + Shift + Esc 打开任务管理器,转到“详细信息”。
(3)找到 explorer.exe,点击“结束任务”。此时 Windows 任务栏消失。
(4)在任务管理器点击菜单“文件” ==> “运行新任务” ==> 输入“cmd” 这样打开命令行提示符。
(5)在命令行提示符输入以下命令:
cd c:\Users\Administrator\AppData\Local\GameAssistant\wd
del uniconft64.dll
del libnda.dll
(6)这样就删掉上述两个 dll 文件了,关闭命令行提示符,回到任务管理器,点击菜单“文件” ==> “运行新任务” ==> 输入“explorer” ,恢复显示 Windows 任务栏。
5、防止死灰复燃
删除 sehelper 和 wd 两个目录后,再打开 Chrome 浏览器,此时不会自动打开 360 主页,chrome://version 的页面里命令行是正常的,没有乱七八糟的链接。
然而,我没有卸载手游助手,下次打开手游助手后,wd 目录仍会自动生成(sehelper 目录反而没有,这个先不管了),wd 目录里再次生成 libnda.dll、uniconft64.dll 等文件,那么关闭浏览器再打开,浏览器又再度自动打开 360 主页,陷入死循环……
为防止手游助手自动释放恶意劫持文件,只能给 wd 目录设置禁止写入权限。
由于此时 explorer.exe 和 chrome.exe 又被劫持,需要先重复类似上面第4步方法:
(1)关闭 Chrome 浏览器。
(2)关闭手游助手。
(3)在任务管理器里结束 explorer 进程。
(4)还要结束手游助手相关的进程:clean.exe、GameAssistant.exe、LocalServer.exe、Wallpaper.exe
(5)在任务管理器里运行 cmd 打开命令行提示符,运行命令清空 wd 目录的所有文件:
del c:\Users\Administrator\AppData\Local\GameAssistant\wd\*.*(6)任务管理器运行 explorer 恢复任务栏。
接下来对 wd 目录的权限作修改:
鼠标右键单击 wd 目录 ==> 属性 ==> 安全 ==> 编辑
分别选 Administrator 和 Administrators,在 Administrator 的权限列表里的“修改”点击一下“拒绝”的勾选框,这样下面的“读取”等权限都会被自动勾选。
点击“确定”,会提示是否继续,点击“是”即可。
经过这样设置,wd 目录连管理员账号都无法访问了,也就彻底杜绝流氓软件释放恶意代码文件的可能性了。
至此手游助手与浏览器友好相处,即使再怎么打开手游助手,运行 Chrome 浏览器都不会自动加载 360 或 so.com 的主页了。
这个手游助手夹带私货,在玩得爽的同时竟然作出劫持浏览器如此卑劣的行径,令人防不胜防。严重鄙视这种软件!我不会用得长久,早晚会用其他安卓模拟器取代它。