• hao916,hao123,2345.com浏览器劫持-分析与清除


    装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
    结果浏览器总是被加小尾巴跳转到hao123

    http://hao.qquu8.com/?v=108&m=yx

    几乎所有浏览器,都包括在内!

    于是装了一个HIPS, 发现原来是


    scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
    (“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


    于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
    一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除

    从此世界清静了

    删除方法如下:

    以管理员身份运行PowerShell

    执行以下命令

    gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
    

      name后面的都是名称,对应删除!

    转载自:http://blog.csdn.net/sheds/article/details/50976985
    https://zhuanlan.zhihu.com/p/24216079

  • 相关阅读:
    php 解析xml
    php
    php 设置自动加载某个页面
    Mac
    mysql
    Git
    C#
    C# 正则表达式
    C# ASCII码排序
    (转)datagridview 自定义列三步走
  • 原文地址:https://www.cnblogs.com/ChandlerVer5/p/broswer_gwmi.html
Copyright © 2020-2023  润新知