firefox设置被强制篡改的解决

下午突然发现Firefox默认主页和重启浏览器后打开项被篡改了，当时改过来之后没注意，后来浏览器重启后居然丢失了之前开的页面，而且主页仍然被恶意篡改了，于是赶紧到 C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\****.default\sessionstore-backups 把里面内容备份一下，然后上网搜了下，没解决办法，仔细看下，被篡改主页是从****.com跳转到另一个导航站点，于是搜****.com，找到： http://tieba.baidu.com/p/4836616459 里面提到U盘启动盘制作工具大白菜，我正好在前两天装了另一款U盘启动盘制作工具，于是立马删除软件，重启电脑问题依旧，于是利用process monitor仔细观察Explorer进程，发现它不断读写，主要是此文件： C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\****.default\prefs**.js 打开所在文件夹，有诸多prefs**.js文件，打开prefs.js里面出现了恶意跳转的目标网站，于是立马删除这些文件，Firefox恢复正常 接下来观察另一台电脑（U盘在原电脑制作启动盘之后被用来重装这台电脑）上的Firefox退出后，explorer也是和这台电脑一样，不停读写 C:\Users\****\AppData\Roaming\Mozilla\Firefox\Profiles\****.default\prefs**.js 开始以为正常，后来到自己笔记本上发现关闭Firefox后没有这个现象，于是继续摸索 后记： 昨天使用火绒剑、ring3scan等没有检查出异常的和explorer关联的钩子，今天中午卸载掉firefox重启，explorer居然还是不停读写那个目录和文件，使用process monitor仔细看了下，有个stack，查看堆栈里面，涉及到了computerZ，这个是鲁大师相关的，立马卸载掉鲁大师，不行，再重启，OK，最终发现原来是鲁大师不停读写firefox配置文件，木马利用这点，在配置文件中插入它的代码，被不停的执行