浏览器快捷方式被修改的元凶
最近浏览器快捷方式目标属性被修改,后面上了“hao.169x.cn”这个导航 ,每次修改后一段时间总又被修改回来。现决心找一找元凶。html
通过一番搜索,发现是用小马激活的后遗症,并且用关键字“remove hao.169x.cn”搜索,发现很多歪果朋友也纷纷中招,顿时感受脸上火辣辣的,中国特点牛皮癣啊。。。web
先说解决方案:chrome
--你若懒得折腾,直接把浏览器快捷方式改回来,设为只读。若爱折腾,请继续看。shell
1. 任务计划名字里含有相似oem、kms删掉(不知道怎么操做能够百度一下)。这些计划任务会在每次重启建立下面的WMI相关东西。数据库
2. 以管理员身份运行cmd,输入powershell,而后执行如下代码就能够了。这些WMI的东西会定时改你的浏览器快捷方式。windows
gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
若是你这步不行,大概是和我遭遇的流氓软件不一样,所建立的东西名字不一样。你可参照这篇博文找到相似的地方手动删除。浏览器
3. 将下面这段代码xxx替换为你的用户名,另存为后缀名为vbs的文件,运行一下就把全部的改的快捷方式改回来了。ide
On Error Resume Next Const link = "" Const link360 = "" browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe" lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\xxx\Desktop,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" browsersArr = Split(browsers,",") Set oDic = CreateObject("scripting.dictionary") For Each browser In browsersArr oDic.Add LCase(browser), browser Next lnkpathsArr = Split(lnkpaths,",") Set oFolders = CreateObject("scripting.dictionary") For Each lnkpath In lnkpathsArr oFolders.Add lnkpath, lnkpath Next Set fso = CreateObject("Scripting.Filesystemobject") Set WshShell = CreateObject("Wscript.Shell") For Each oFolder In oFolders If fso.FolderExists(oFolder) Then For Each file In fso.GetFolder(oFolder).Files If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then Set oShellLink = WshShell.CreateShortcut(file.Path) path = oShellLink.TargetPath name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path) If oDic.Exists(LCase(name)) Then If LCase(name) = LCase("360se.exe") Then oShellLink.Arguments = link360 Else oShellLink.Arguments = link End If If file.Attributes And 1 Then file.Attributes = file.Attributes - 1 End If oShellLink.Save End If End If Next End If Next
下面是第二步中4条命令的分析:wordpress
这实际上是WMI的event。WMI的event包含三种东西:Consumer, Filter和Timer,对应的class分别是:__EventConsumer,__EventFilter和__TimerInstruction。 第二条ActiveScriptEventConsumer是__EventConsumer的子类要执行的操做,它有个script属性,能够执行脚本,上面解决方案的第三步的代码就是从这儿改来的(以其人之道还治其人之身)。工具
第三条的__IntervalTimerInstruction是__TimerInstruction的子类,是一个定时器,能够指定长时间执行一次。 第四条的__EventFilter有一个Query属性,内容是
第一条的__FilterToConsumerBinding顾名思义就是Filter和Consumer的对应关系,至关于数据库中的多对多关系的中间表。在wmi tool这个工具里配置也很简单,只需在Filter列表里选中一个filter,在右侧的Consumer列表中选择对应的consumer,而后点右上角的“√”(Register)就行了。
推荐阅读:
Windows Management Instrumentation (WMI) Offense, Defense, and Forensics(PDF)
其三篇译文:
WMI 的攻击,防护与取证分析技术之防护篇
WMI 的攻击,防护与取证分析技术之取证分析篇(做者还没有完成)
以及:
Show and Remove Permanent WMI Event Registrations
WMI Attacks
--完--
原文地址 http://www.cnblogs.com/szhx/p/5296822.html
By 博客园-心亦
- 1. 彻底解决win10chromd浏览器(主流浏览器)快捷方式被篡改的问题
- 2. 如何修改快捷方式网页的图标为谷歌浏览器
- 3. phpstorm修改快捷方式
- 4. 如何解决浏览器快捷方式被篡改,主页被篡改或被劫持
- 5. 浏览器快捷方式不断被劫持到hao123的根治方法
- 6. IE浏览器快捷键
- 7. 浏览器主页被篡改的修改办法
- 8. 修改浏览器滚动条样式
- 9. css 修改样式 浏览器
- 10. jupyter notebook 修改浏览器方法
- 更多相关文章...
- • XSLT 浏览器 - XSLT 教程
- • Opera 浏览器 - 浏览器信息
- • IntelliJ IDEA 代码格式化配置和快捷键
- • 常用的分布式事务解决方案
-
每一个你不满意的现在,都有一个你没有努力的曾经。