最近被传奇私服的发布站劫持了！！！

aubu11

啊 我居然被发布站劫持了！！而且这个劫持用通常的恢复网络等方式并无法修复，，于是 动动手干掉它！！！

无论打开什么网站都弹出这个页面，通过禁用左右键不让我看源码 ，那我就只能F12大法了

打开F12第一眼我就看到了不正常的东西
127.127.127.127  强制走本地吗？
于是我想到了 这绝比是个驱动劫持！！！！ 有人要问了 为什么是驱动劫持，我也不知道为什么 就是感觉

于是打开我的神器！ ~~~记事本plus~~~
你可以选择任何自己喜欢的记事本
这里类型我搜索的是*.* ，你们肯定又要问了，既然我确定这是驱动劫持 为什么不直接搜索*.sys？虽然我确定是驱动劫持 但是为了不让自己走弯路 这里选择了搜索全部类型。

搜索结束，好嘛，肯定是你干的，看我不弄死你！


定位好.SYS 驱动无法强制删除   我进入了安全模式 禁止驱动注入模式启动，结果发现！！还是删除不掉 他貌似绕过了win10的安全模式，有点意思。
----------------------后面的东西我无法截图了 ，只能口述！
于是乎翻箱倒柜找到了我的系统U盘
插入USB-----进入USB启动----进入PE系统-----定位它-----删除！！
OK 大功告成（其实很简单），重启电脑 发现它没有再重新生成了，网站也可以正常打开（记住要先清理127.127.127.127 这个网站的缓存哦），证明这个东西可以过各种杀软是有原因的。




2020.3.31
这种驱动劫持都是用过传奇外挂被中下的苦果，亲测火绒  360急救箱  360网络恢复  都无法处理。。。

cnk2019

C:\Windows\1WFNN8NJ.sys: *** 无法打开。 ***
C:\Windows\appcompat\Programs\Amcache.hve: *** 无法打开。 ***
C:\Windows\appcompat\Programs\Amcache.hve.LOG1: *** 无法打开。 ***
C:\Windows\appcompat\Programs\Amcache.hve.LOG2: *** 无法打开。 ***
C:\Windows\Resources\Themes\aero\VSCache\Aero.msstyles_2052_96_01.mss: *** 无法打开。 ***
C:\Windows\Resources\Themes\aero\VSCache\Aero.msstyles_2052_96_03.mss: *** 无法打开。 ***
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT: *** 无法打开。 ***
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1: *** 无法打开。 ***
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG2: *** 无法打开。 ***
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT: *** 无法打开。 ***
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1: *** 无法打开。 ***
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG2: *** 无法打开。 ***
C:\Windows\SoftwareDistribution\DataStore\DataStore.edb: *** 无法打开。 ***
C:\Windows\SoftwareDistribution\DataStore\DataStore.jfm: *** 无法打开。 ***
C:\Windows\SoftwareDistribution\DataStore\Logs\edb.log: *** 无法打开。 ***
C:\Windows\SoftwareDistribution\DataStore\Logs\tmp.edb: *** 无法打开。 ***
C:\Windows\System32\config\BBI: *** 无法打开。 ***
C:\Windows\System32\config\BBI.LOG1: *** 无法打开。 ***
C:\Windows\System32\config\BBI.LOG2: *** 无法打开。 ***
C:\Windows\System32\config\DEFAULT: *** 无法打开。 ***
C:\Windows\System32\config\DEFAULT.LOG1: *** 无法打开。 ***
C:\Windows\System32\config\DEFAULT.LOG2: *** 无法打开。 ***
C:\Windows\System32\config\SAM: *** 无法打开。 ***
C:\Windows\System32\config\SAM.LOG1: *** 无法打开。 ***
C:\Windows\System32\config\SAM.LOG2: *** 无法打开。 ***
C:\Windows\System32\config\SECURITY: *** 无法打开。 ***
C:\Windows\System32\config\SECURITY.LOG1: *** 无法打开。 ***
C:\Windows\System32\config\SECURITY.LOG2: *** 无法打开。 ***
C:\Windows\System32\config\SOFTWARE: *** 无法打开。 ***
C:\Windows\System32\config\SOFTWARE.LOG1: *** 无法打开。 ***
C:\Windows\System32\config\SOFTWARE.LOG2: *** 无法打开。 ***
C:\Windows\System32\config\SYSTEM: *** 无法打开。 ***
C:\Windows\System32\config\SYSTEM.LOG1: *** 无法打开。 ***
C:\Windows\System32\config\SYSTEM.LOG2: *** 无法打开。 ***
C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat: *** 无法打开。 ***
C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat.LOG1: *** 无法打开。 ***
C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat{e7a9257f-400c-11eb-80f1-8c89a50abd21}.TM.blf: *** 无法打开。 ***
C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat{e7a9257f-400c-11eb-80f1-8c89a50abd21}.TMContainer00000000000000000001.regtrans-ms: *** 无法打开。 ***
C:\Windows\System32\Microsoft\Protect\Recovery\Recovery.dat{e7a9257f-400c-11eb-80f1-8c89a50abd21}.TMContainer00000000000000000002.regtrans-ms: *** 无法打开。 ***

我怎么查出这么多 好像跟你的不太一样啊

kof8855

用简单G的都会被劫持，有没有破解版？？？我只想用自动打怪挂机功能，而有的SF内挂不开挂机

53195391

所以为什么会被劫持?是不是看了不健康的东西?

xwsky

高手，又学一招！这台电脑也这种情差不多。试试

清风十里不如你

666.昨天上网吧发现浏览器里面进的百度是假的，上面显示是百度页面也对就是你搜索租号或者卖游戏装备的网站以后会出现不是你要找的网站，怎么搜索显示的是那个网站但是打开却不是

nihao7758

可是为什么会被劫持，私服网页我也经常看，同装360和火绒，从没中过招

52ECHO

It will come back.

sugar235

果然是身经百战的老油条

jafck

Autoruns - Sysinternanals （www.sysinternals.com） 下回再遇到了 驱动保护的后门程式可以试试这个。

w2010d

服务器直接DCOM升到system删除就是了

a4150

nihao7758 发表于 2020-3-24 02:21
可是为什么会被劫持，私服网页我也经常看，同装360和火绒，从没中过招

因为你没用 简单G

mqymqy

老油条支持你

qybx

清理病毒文件这个比较简单，我想知道为啥会被劫持，服务器好好的别人怎么给你种马的？网站漏洞？服务器漏洞？不然怎么能再你服务器生成那些文件？