win10系统下,新安装了office 2016,激活的时候好死不死的使用了KMS 10的一个激活软件。结果使用了重启之后

发现edge 和chrome主页被篡改为 hao123(或者打开之后被重定向到hao123).网上一般能找到的是删除注册表键值。

删除系统目录下的KMS10 KMS8,但是重启后会恢复成原样,直到...

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=378398&extra=&page=2

ref:

装了Win10, 要激活, 于是网上下载了一个所谓的小马KMS10激活
没想到中招了, 结果浏览器总是被加小尾巴跳转到hao123

系统目录的KMS10文件夹删除了, 注册表搜索删除了. 快捷方式手动清理干净了, 添加的二个计划任务也删除了
可是没用啊
没用啊, 怎么办... Explorer进程加载的DLL 系统服务, 观察一圈没发现异常啊.  网上百度, Google好多圈
一点用也没, 都是些抄来抄去的贴子.  重装系统, 这不符合我的风格呀(其实是软件太多, 重装太麻烦)

于是装了一个HIPS, 发现原来是

scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)

于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了

清理命令,

删除方法如下:以管理员身份运行PowerShell
执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject

正常gwmi命令完成以后,在wmi Explorer 中已经看不到了ActiveScriptEventConsumer下的这个恶意的ScriptText了

完了以后,记得确保什么注册表之类的都清理OK,重启总算正常了。

win10 被KMS 篡改主页 hao123相关推荐

  1. Win10系统出现edge主页被劫持篡改的问题

    在微软更新的新版Windows10 2004系统自带的edge浏览器功能十分强大,有很多win10系统用户都很喜欢使用,但是有一位深度之家的小伙伴发现在使用Edge浏览器的时候,主页不知道怎么被修改劫 ...

  2. 【常规篇】浏览器被其他网页恶意篡改主页解决办法

    [常规篇]浏览器被其他网页恶意篡改主页解决办法 发布时间:2021/03/22 - 作者:七夜丶 前言 相信很多朋友电脑用久了,伴随着软件逐渐增多,尤其是下载带有捆绑软件的时候,浏览器就会被病毒恶意篡 ...

  3. 360篡改主页如何恢复

    有很多网友在网上说自己主页www.ku113.com 被改成了其他的主页.而且都是在使用360杀毒时出现的问题,而且一旦被360篡改主页之后就很难恢复,今天我在这里记录一下以防其他小伙伴遇到同样的问题 ...

  4. Microsoft Edge 浏览器被360篡改主页

    Microsoft Edge 浏览器被360篡改主页 Microsoft Edge 浏览器被360篡改主页 最近无意中下在小鸟壁纸,不幸Microsoft Edge浏览器被360篡改,面对360这种软 ...

  5. chrome主页被垃圾软件篡改为hao123后最小白的修复方法

    chrome的主页被不知道什么软件以什么方式篡改了,格式为https://www.hao123.com/?tn=XXXXXXXX_hao_pg. 首先检查了chrome内部的主页设置完全没有问题,但是 ...

  6. 解决win10通过KMS激活的出现浏览器主页被修改为hao.qquu.com问题

    最安全最干净最快速的方法是下载腾讯管家进行杀毒,完成后整个世界清静了 (下载完腾讯管家之后要卸载哦,这个软件很吃内存滴) 你会回来感谢我的(太自恋了哈哈)

  7. edge主页被360,hao123篡改主页问题解决办法2023

    烦死了,总有程序修改标签文件. 目前未找到那个恶意程序,等找到了在看. 第一步,在edge 浏览器将标签页整理好. 第二部,找到下面的 Bookmarks 文件,改成只读. C:\Users\1537 ...

  8. 万能驱动助理篡改主页为2345的解决办法

    万能驱动助理,因为驱动比较全,都是离线的包,并且足够小,所以很多人用,我也用,上次帮别人装系统之后用万能驱动助理安装驱动,然后发现默认安装了2345浏览器,然后我网上查了一下,原文如下: 感觉最新版的 ...

  9. qq浏览器主页_QQ浏览器遭恶意病毒篡改主页,无法更改的解决办法

    近期,我发现我每次打开QQ浏览器的时候都会弹出hao123这个网页,由于我并不喜欢用这一类的网址导航,而是直接百度.所以在设置里更改了主页为百度,随后再次打开,发现根本没用.眼尖的我发现这tm并不是直 ...

最新文章

  1. 可能是最好的跨域解决方案了
  2. 思维题——倒序差分的运用
  3. 分布式系统中的限流与熔断
  4. 台湾大学林轩田机器学习技法课程学习笔记13 -- Deep Learning
  5. 移动端效果之Picker
  6. JBPM中 使用JobExecutor执行timer定义的job
  7. 前端学习(1988)vue之电商管理系统电商系统之获取商品列表
  8. 7-103 牛几 (10 分)
  9. ambiguous package name 'libglib2.0-0' with more than one installed instance
  10. kill 进程_05516.1普通用户配置kill CDH集群进程权限
  11. python resample函数_18_python_pandas_DataFrame使用指南(上)(1-4)
  12. java加载阶段内存分配_Java核心:类加载和JVM内存的分配
  13. HTML+CSS学习笔记(3)- 认识标签(2)
  14. jQuery 判断div是否shown
  15. 【MMD】MikuMikuDance入门必备网址整理
  16. leet 75. 颜色分类
  17. 高并发系统设计 --基于MySQL构建评论系统
  18. 叠片过滤器安装维护注意事项
  19. jfinal调用mysql存储过程 封装_jfinal 调用存储过程
  20. chrome.exe(或其他exe)- 损坏的映像

热门文章

  1. ASP.NET Core Redis
  2. EDA软件_Cadence_Allegro 16.6进行尺寸标注
  3. 用于交通事件前检测的实时视频监控系统
  4. android 图片绑定按钮,android的图片按钮(ImageButton)的案例
  5. GPIO口模拟IIC--适用于任何ARM系列单片机
  6. python谷歌翻译库googletrans使用 避坑!
  7. proteus仿真出错:VCC and GND nets are connected - check net GND
  8. spidermonkey学习
  9. PJBlog3 3.0.6.170最新版即将发布
  10. 试用了所有的五笔输入法,从86版升级的选择应该是极点和念青- -