爱华网年级大了,记性差了,烂笔头记一下。
很多年前帮朋友修电脑时就看到IE的首页是这个hao123的导航页,也没怎么介意,因为加载很快,也没什么弹出窗口,导航就导航吧,小流氓也得吃饭啊,反正朋友也无所谓。
前几天上网下载个小软件,安装的时候没仔细看,一下子点在了一个对话框的确认上,好,浏览器主页马上变成了hao123.试着手工改主页,改注册表,重置IE,查杀病毒,锁定主页,完全没用。一启动IE,浅绿色的hao123就对着我微笑。
这下端杯水端详一下这个hao123,才发现已经鸟枪换了炮,小公司hao123已经被baidu收购了,变成了大款流氓,首页上的搜索引擎从老早的GOOGLE变成了baidu。 搜一下如何移除hao123主页(用yahoo,bing吧,用baidu有点奇怪),发现铺天盖地的抱怨它劫持了主页,顽固地无法删除。而且厉害的是它不仅劫持IE,是个浏览器,firefox,chrome,全部通吃。
国内网站上交流的方法大多是装个360什么的锁定主页,或者改个注册表什么的。改注册表项应该是针对早期版本的hao123吧,现在完全没用,注册表里设置全是正确的,IE启动依然是那个主页,像个坚强的毒瘤长在胳肢窝里,不疼不痒,可你不知道它什么时候会干点啥,隔应得很。引入360则有点像为了躲开小流氓,请了个黑社会常驻家里,肯定不是我的选择。
搜搜其他网页,才知道不仅在国内,它在台湾,境外,也是大名鼎鼎啊,劫持肉鸡无数,也许正是这个原因,才让baidu把它给收购了吧。用关键词查了微软社区,恶意软件论坛,到处都是求删除的。好玩的是在hao123的台湾版主页上居然列着删除方法,让我瞬间对它居然有了好感,是了一下,确认是在玩我。根本不行。有个英文的功略说用三种杀毒或者恶意软件消除者,RFT,MAV什么的都是大名鼎鼎的强杀同时依次运行,附加手工删除注册表项,肯定能搞定,共六步。
大喜,下载安装第三方杀毒软件,觉得国外的强盗应该比国内的有点道吧。1,2,3,4,5,6依次进行,都说擦出来毒,电脑重启无数次。整完了点击IE,hao123的小胸脯挺得又快又高,只偶尔会被block 住。
晚上睡不着,想想劫持所有浏览器,应该不只是该了什么extension这么简单,内存里应该有个常驻的东西来保持这种劫持,这玩艺高明在于内存里的这个东西居然不会触发防毒软件,同时也说明了微软的什么security
essential 只能防翔一样的病毒。
接下来简单,傻看内存进程,凡是删不掉的都有问题,5分钟找到这个 brmas.exe. 上网一搜,揍是它。
删除步骤如下:
1) 找一个windows 安装盘启动 (没试过本机安全模式命令行启动)
2) 选择修复windows安装-〉继续-〉打开命令行窗口
3) 转到系统里的C 盘,cd'program files'brmasbin
4) 就藏在这里面,brmas.dll, brmas.exe. 居然还有个uninst.exe,没试过如果点击是否能真的删去.
5) 全删,出来连这个目录brmas也干掉。
6) 有洁癖的我,dir /s 找出在programdata里面还有这个文件夹里面存着它的数据文件,一并干掉。
重启电脑,打开IE,我熟悉的空白页出现了。从被劫持里脱开,IE 看上去也轻松了一些。
很奇怪这样一个明显的病毒,长时间存在,劫持浏览器首页。为什么微软的防毒,大名鼎鼎的第三方恶意软件删除器居然都不能侦测到?百思不能明白,难道现在做流氓也是被认可的商业行为?
