hao916,hao123,2345.com浏览器劫持-分析与清除

mac2022-06-30  178

装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)结果浏览器总是被加小尾巴跳转到hao123

http://hao.qquu8.com/?v=108&m=yx

几乎所有浏览器,都包括在内!

 

于是装了一个HIPS, 发现原来是scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除

从此世界清静了

 

删除方法如下:

以管理员身份运行PowerShell

执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject

  name后面的都是名称,对应删除!

转载自:http://blog.csdn.net/sheds/article/details/50976985https://zhuanlan.zhihu.com/p/24216079

转载于:https://www.cnblogs.com/ChandlerVer5/p/broswer_gwmi.html

相关资源:JAVA上百实例源码以及开源项目
最新回复(0)