V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Vizogood
V2EX  ›  问与答

大家对于搜狗输入法劫持主页有什么好的解决办法?

  •  
  •   Vizogood · 2017-07-15 19:03:05 +08:00 · 5086 次点击
    这是一个创建于 2692 天前的主题,其中的信息可能已经有所发展或是发生改变。

    老爸电脑装了个搜狗输入法,好用是好用,吃相太难看了....

    IE 主页被劫持到 123.sougou.com 以下是我试过的方法:

    • 注册表常用的主页键值都改过了,没用.
    • 在跳转到 123.sougou.com 的一瞬间会到一个中间网址,这个网址在注册表中也找到了,删掉对应键值,依然不起作用
    • 不定时弹出各种广告,去不掉
    • IE 选项也改过了,没用
    • IE 快捷方式也没有设置启动参数
    • 杀毒软件没有报毒

    百度和谷歌上的方法都用过了,没有效果

    扔到虚拟机中测试,连续开启 72 小时,没有装任何杀毒软件,没有劫持主页行为,我估计搜狗检测 VMware 线程了.

    第 1 条附言  ·  2017-07-16 07:46:32 +08:00
    是这样的 ,因为我爸有两台电脑,一台在家中的台式,在之前就有被搜狗导航劫持的行为一直解决不了。另外一台是笔记本,笔记本系统是我装的,应我爸要求装的 win7 (工作软件原因)然后我给他装的搜狗输入法,我在外地上学给他邮寄回去,然后过了两天也出现相同的行为,大家说不是搜狗劫持也很有道理 我回去找找两台电脑相似的软件
    尝试过在虚拟机里用 malwaredefender 找原因 但问题就是不复现,我又无法完全模拟老爸的使用场景……蓝瘦
    53 条回复    2017-07-17 08:27:45 +08:00
    raikkonien
        1
    raikkonien  
       2017-07-15 20:22:04 +08:00 via Android
    改 host,眼不见为净
    yylzcom
        2
    yylzcom  
       2017-07-15 20:23:20 +08:00
    无脑推荐火绒,国产里比较干净的一家了
    CEBBCAT
        3
    CEBBCAT  
       2017-07-15 20:27:40 +08:00 via Android
    打开搜狗的设置试试

    此帖终结
    rssf
        4
    rssf  
       2017-07-15 21:36:50 +08:00 via iPhone
    为何不删除
    seasstyle
        5
    seasstyle  
       2017-07-15 22:04:49 +08:00 via Android
    国内的流氓世家都被我全部监禁或者 ko 了
    rosu
        6
    rosu  
       2017-07-15 22:05:06 +08:00 via Android   ❤️ 1
    用搜狗很久,没有遇到。
    xx998
        7
    xx998  
       2017-07-15 22:07:56 +08:00 via Android
    用修改版!
    或者换其他输入法
    Perseus1812
        8
    Perseus1812  
       2017-07-15 22:12:29 +08:00 via Android
    换 bing 输入法
    NonClockworkChen
        9
    NonClockworkChen  
       2017-07-15 22:25:44 +08:00
    mac 和 win 都没遇到过....建议你再查查...
    hand515
        10
    hand515  
       2017-07-15 22:48:29 +08:00
    安装的时候一路默认下去是很危险的,尤其是国产软件
    Aar0nFr4nk
        11
    Aar0nFr4nk  
       2017-07-15 23:36:55 +08:00 via iPhone
    我平时都是去下网上所谓的绿色版精简版 一般会被精简很多无用的东西 只保留最原始即打字的功能……建议楼主解决了主页劫持的问题后 可以试试..另外国产那些流氓杀软应该很有办法对付这些[捂脸笑]
    yongyuhi
        12
    yongyuhi  
       2017-07-15 23:40:33 +08:00 via Android
    可能不是搜狗,估计安装包中加了脚本,查下启动项,有没有奇怪的脚本,看下系统中有没有奇怪的 exe。
    miaomiao888
        13
    miaomiao888  
       2017-07-15 23:45:11 +08:00
    关键字:WMI 劫持
    Baymaxbowen
        14
    Baymaxbowen  
       2017-07-15 23:47:32 +08:00 via Android
    推荐手心输入法,但是好像是数字家的,但还是很干净
    anyele
        15
    anyele  
       2017-07-16 00:06:31 +08:00
    QQ 输入法, 没广告, 没绑定
    kamen
        16
    kamen  
       2017-07-16 00:09:30 +08:00 via Android
    sudo pacman -S fcitx-sougoupinyin
    dream7758522
        17
    dream7758522  
       2017-07-16 00:20:02 +08:00 via Android
    并没有,用的是搜狗输入法
    Vizogood
        18
    Vizogood  
    OP
       2017-07-16 07:39:11 +08:00 via Android
    @yylzcom 装了火绒 没有用
    Vizogood
        19
    Vizogood  
    OP
       2017-07-16 07:39:53 +08:00 via Android
    @raikkonien 没用 改过了 只会在 IE 启动的开始提示你的链接不是安全链接
    Vizogood
        20
    Vizogood  
    OP
       2017-07-16 07:40:07 +08:00 via Android
    @CEBBCAT 没有 都找过了……
    Vizogood
        21
    Vizogood  
    OP
       2017-07-16 07:40:53 +08:00 via Android
    @rssf 老爸因为工作原因用的 win7 而多年来用的最习惯的输入法就是搜狗
    Vizogood
        22
    Vizogood  
    OP
       2017-07-16 07:41:43 +08:00 via Android
    @hand515 是我亲自安装的……我还很注意很注意的将所有可能的选项都弄过了
    Vizogood
        23
    Vizogood  
    OP
       2017-07-16 07:47:09 +08:00 via Android
    @miaomiao888 谢谢 我找找
    XiLemon
        24
    XiLemon  
       2017-07-16 08:26:13 +08:00 via iPhone
    在 Ubuntu 里装了一个,Firefox 首页变成搜狗的了,目前还没有找到解决方案,求问?
    zvcs
        25
    zvcs  
       2017-07-16 08:43:23 +08:00 via iPhone
    手心输入法 哈哈哈
    boboliu
        26
    boboliu  
       2017-07-16 08:50:36 +08:00
    https://loaris.com/get-loaris/ 试试这货,肛 PUP 和主页挺好用的。
    https://www.zemana.com/ 或者这个,效果也可以
    最后你要是担心自己中了什么 rootkit 可以抢救一波:
    - https://security.symantec.com/nbrt/npe.aspx
    - http://www.360.cn/jijiuxiang/index.html
    wangxiaoer
        27
    wangxiaoer  
       2017-07-16 08:53:22 +08:00
    360 扫一下,这种事情还是流氓老大才能搞定吧
    nosmile
        28
    nosmile  
       2017-07-16 09:17:07 +08:00 via Android
    我一般实在没办法用国内的软件的话,都是去 52pojie 下载去广告版绿色版本
    Suddoo
        29
    Suddoo  
       2017-07-16 10:55:40 +08:00
    卸载搜狗,换小狼毫输入法
    kokutou
        30
    kokutou  
       2017-07-16 11:39:20 +08:00 via Android
    装个火绒一扫就出来了。。。
    honeycomb
        31
    honeycomb  
       2017-07-16 12:21:49 +08:00 via Android
    给你爹买一台 mac 吧
    Vizogood
        32
    Vizogood  
    OP
       2017-07-16 12:22:12 +08:00 via Android
    @kokutou 装的就是火绒 照样被劫持
    Vizogood
        33
    Vizogood  
    OP
       2017-07-16 12:22:39 +08:00 via Android
    @XiLemon 还有这种操作……
    Vizogood
        34
    Vizogood  
    OP
       2017-07-16 12:23:00 +08:00 via Android
    @boboliu thanks
    virusdefender
        35
    virusdefender  
       2017-07-16 12:28:06 +08:00
    装 360 查一下吧,感觉还是比较有用的
    Robots
        36
    Robots  
       2017-07-16 12:30:49 +08:00
    xvx
        37
    xvx  
       2017-07-16 16:16:44 +08:00
    人懒,不想再浪费时间去处理这些蛋疼玩意了,所以后来就干脆不用搜狗了。
    yukimio
        38
    yukimio  
       2017-07-16 16:40:55 +08:00
    卡饭论坛有精简去广告纯输入法保留版。一直用的是这种。
    另搭车问,中了一种执行 exe 就自动生成 mgr 同名 exe 的病毒(?怎么处理……
    一众扫毒扫了个遍,无效。删除后会再生成(但不是每个 exe 都会生成)。重装后还不行。现在是建立一个同名只读空文件凑合用着,但看着难受。
    求教求教。
    usedname
        39
    usedname  
       2017-07-16 17:23:19 +08:00
    卸载,用 ms 自带的,此贴终结。
    Athrob
        40
    Athrob  
       2017-07-16 18:14:29 +08:00
    https://www.athrob.me/archives/13/
    看看这个有帮助吗?
    Vizogood
        41
    Vizogood  
    OP
       2017-07-16 18:44:12 +08:00
    @honeycomb 软件只支持 win7 办公电脑,我想装 win10 都不行
    Marfal
        42
    Marfal  
       2017-07-16 18:45:11 +08:00
    都用国产了,哪家都一样,用手心吧,无弹窗,而且界面 100%复刻搜狗
    Vizogood
        43
    Vizogood  
    OP
       2017-07-16 18:45:33 +08:00
    @virusdefender 是时候得这样了,看你的名字 ,你也是做反病毒的?
    Vizogood
        44
    Vizogood  
    OP
       2017-07-16 18:45:52 +08:00
    @Robots ok
    virusdefender
        45
    virusdefender  
       2017-07-16 18:46:18 +08:00
    @Vizogood #43 好多年前的事情了
    Vizogood
        46
    Vizogood  
    OP
       2017-07-16 18:46:47 +08:00
    @usedname win7 的输入法易用程度 老铁你用的下...?
    Vizogood
        47
    Vizogood  
    OP
       2017-07-16 18:47:55 +08:00
    @virusdefender 我原来也做过反病毒,我还写过流氓软件终结者,现在被一个劫持主页打败了
    usedname
        48
    usedname  
       2017-07-16 19:25:03 +08:00
    @Vizogood #46 不知道 win7 的必应输入法有没有升级,反正在 win10 上我是一直用的必应。
    acess
        49
    acess  
       2017-07-16 20:24:31 +08:00
    刚刚安装搜狗,并没有被改主页。不过安装程序结束时确实有个框是设置主页为搜狗导航。
    acess
        50
    acess  
       2017-07-16 20:38:02 +08:00
    注册表方面,不知道 LZ 有没有检查过组策略有关的注册表项。如果是改过又被改回来,Process Monitor 支持 Boot Logging,不过你老爸跟你离得远的话,这个就太麻烦了……
    除了这些,就是比较猥琐的木马手段了吧,前一阵子看到的分析:
    http://www.freebuf.com/articles/web/131156.html
    也许 LZ 需要 PCHunter (查一下 Explorer 在应用层有没有 Hook,还有 LoadImage 回调等)、Autoruns、Process Explorer 等工具。
    考虑最倒霉的情况,就是中了木马……这样的话,MBR 和 PBR 也不能放过,可以用 BOOTICE 在 U 盘启动的情况下先备份出 MBR 和 PBR,再传 VirusTotal 扫描。
    acess
        51
    acess  
       2017-07-16 20:39:59 +08:00
    前一阵子才碰到身边有人中 PBR Bootkit,赛门铁克的数据库显示名字好像叫 Cidox,是 N 年前的老病毒……
    电脑管家报道的“异鬼”和它的行为也比较吻合……
    表面能看到的行为就是改主页。
    acess
        52
    acess  
       2017-07-16 20:41:05 +08:00
    在找到问题源头之前,我不觉得用别的工具锁主页是个好主意。
    Vizogood
        53
    Vizogood  
    OP
       2017-07-17 08:27:45 +08:00
    @acess 我打算试试 process monitor 和 PCHunter WMI 没有找到事件绑定..
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1027 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 20:57 · PVG 04:57 · LAX 12:57 · JFK 15:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.