如何使用Process Explorer查出修改主页的恶意程序?
Copyright Notice: This article is an original work licensed under the CC 4.0 BY-NC-ND license.
If you wish to repost this article, please include the original source link and this copyright notice.
Source link: https://v2know.com/article/121
工具:ProcessExplorer_v16.21.Chs
下载地址:http://www.zdfans.com/html/2455.html
选择以管理员身份运行:
操作步骤:
①先把Chrome窗口化
(我们发现主页已经被篡改了)
②关闭当前所有Chrome窗口,重新打开Chrome, 注意Process Explorer:
③在你启动的一瞬间,你会看到explorer.exe下面新增了dghm.exe这个进程,然后立即消失:
你需要右击到它,查看属性:
我们可以看到这个dghm.exe所在的文件夹,同时我们也看到了DriverGenius,这个dghm.exe位于驱动精灵的主目录。
可以通过删除这个dghm.exe来解决篡改的问题,
但是你不知道驱动精灵会不会在你下次开机又把这个文件给你下载下来,继续“保护”你的主页。
所以就卸载驱动精灵咯!
好了,相信看到这,你应该知道怎么处理这种类型的主页篡改了。
一般情况下,如果你的注册表没被修改的话,基本是就是像这种exe给你改的,这种情况下,你的杀毒软件又不一定认为这是病毒,所以你无论怎么杀毒都没用。
它的原理就是在命令行里面注入网址,注入之后就关闭。
顺便一提:
驱动精灵-浏览器设置里面确实能改,但是强制4选1。
即使不选毒霸网址你也会被强制定位到百度,网址后面也会被加上一些奇怪的参数。
像这样:
https://www.baidu.com/index.php?tn=98011045_2_dg&ch=1
其他杀毒软件也有类似的功能。
总结:
你只需要在Chrome启动的一瞬间,观察Process Explorer的变化,当前发生的有操作Chrome行为的进程会立即显示出来。
扩展阅读:
This article was last edited at 2020-05-21 20:07:42