不知道什么时候开始,浏览器输入jd.com,开始跳到www.229239.com然后才到jd.com。

我以为是运营商劫持,但发现就这台电脑出现,加上https,换浏览器结果都一样。

搜索有人说是C:\Windows\System32\drivers\SysObject.sys这个木马,我看了下属性显示原始文件名tcpip.sys。数字签名是微软。

直接没法删除,安全模式下删除,重启后又恢复了。我看很多人用360删,日,还是算了吧。

打开power tool这个我以前觉得挺好用的工具试试删除,也是不行。到安全模式下,强制粉碎,重启后又出现了。

这是什么牛皮癣啊。

后来偶然找到了PCHunter。进入安全模式删除并阻止生成,重启,终于不见了。

chrome输入jd.com,好了,真不跳www.229239.com了。

最近安装过iTools和51talk两个软件,黑手应该就是其中一个了。