最近这个网页特别猖獗,很多人都中招了,我的破电脑上的Win8也不例外。刚开始以为是瑞星干的,所以把瑞星的所有东西都卸载了,同时删除了注册表中所有带有瑞星字样的东西,卸了所有带有rising的驱动,开机启动项全部都看过,把chrome先卸载再从官网上下载,清理了所有插件。。。但奇怪的是,这个鬼网页还是时不时在我的Chrome上弹出,用findstr电脑全盘搜索这个字符串无果(只在Chrome.sync里面有),使用Wireshark或者Fiddler进行抓包的时候,它又特别“乖”不出来了,一关掉抓包软件就立刻弹出。当时把系统重装的心都有了。
但是后面总算是找到了解决方法:在C:/Program Files(我的64位电脑是 C:/Program Files (x86))下有gamexbox、gmbox、mhn、YunPY、anote、zbx、zmrili...反正很多我从来都没有听说过也没有自己安装过的软件,最可恶的是有软件还删不掉,一看后台有一个叫“SuperApps”的服务还在运转中,这下找到正主了,赶快把这个服务用360服务中止了,之后再也没有弹出过这个网页。。
所以我总结了一下,解决方案如下:
0.regedit进入注册表,把IE首页改回来 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
1.进入C盘的Program Files,看到奇怪的小写字母命名的文件夹都点进去看看是什么,搞不清楚就网上查一下,如果发现不是自己主动安装的一些奇葩东西,赶快要卸载掉或直接shift delete(当然注意要多甄别一下,别删错了好人)
2.如果有程序说它有服务在运行中无法删除,那千万要当心了,这个就是幕后凶手!
在我电脑上的是一个叫SuperApps service的服务,是模仿Google的一个项目的服务,其实有人以前也披露过,不过似乎大家都没有怎么重视:见这里
其实还有一个服务,不过由于名字起的不具有隐蔽性已经被我关掉了,就是叫Sulang IE Protect Service的
它们在“360-优化加速-启动项-应用软件启动项中”都显示是“维持现状”,所以扫描病毒什么都是无效的。
不过只需要把这几个服务关掉,把C盘中的一些奇葩软件删掉,就再也不会弹出瑞星导航了。
一些我没明白的事情
0. 刚开始时注册表里面IE主页是这个鬼网站,但是我打开IE查看设置的时候却不是,这个不知道是什么原理
1. Superapps这个服务原来没有“6”的,用360把它停止之后才多出一个“6”出来,同样不知道是什么原理
2.仍然未能弄明白网络抓包软件运作的时候为什么不会弹出
3.不明白什么时候被安装上这些垃圾,因为对C盘的操作需要管理员权限(不过我严重怀疑是下载什么软件的时候被捆绑安装了,但是我不知道具体是哪个软件)
4.不知道为什么,这些服务只能通过360关掉,用win8自带的任务管理器关不掉
最后附上流氓公司的记录:
superapps.dll : Malware
File Details
File size: 124.9 KB (127,856 bytes)
Product version: 0, 0, 0, 1
Copyright: Copyright (C) 2013 Legendsoft China (Beijing) Technology Limited
Original file name: nasvc.dll
File type: Dynamic link library (Win32 DLL)
Common path: C:\Program Files\superapps\superapps.dll
Digital Signature
Signed by: 联软神州(北京)科技有限公司
Authority: WoSign CA Limited
Valid from: 4/8/2014 2:02:42 PM
Valid to: 4/9/2015 2:02:42 PM
Subject: CN=联软神州(北京)科技有限公司, [email protected], O=联软神州(北京)科技有限公司, L=北京市, S=北京市, C=CN
Issuer: CN=WoSign Class 3 Code Signing CA, O=WoSign CA Limited, C=CN
Serial number: 53F2CA73E6F6B01A69A25848A1B39CA2