admin管理员组文章数量:1580180
装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
结果浏览器总是被加小尾巴跳转到hao123
http://hao.qquu8/?v=108&m=yx
几乎所有浏览器,都包括在内!
于是装了一个HIPS, 发现原来是
scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)
于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了
删除方法如下:
以管理员身份运行PowerShell
执行以下命令
gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
name后面的都是名称,对应删除!
转载自:http://blog.csdn/sheds/article/details/50976985
https://zhuanlan.zhihu/p/24216079
转载于:https://wwwblogs/ChandlerVer5/p/broswer_gwmi.html
本文标签: 浏览器
版权声明:本文标题:hao916,hao123,2345.com浏览器劫持-分析与清除 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1727866477a1134506.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论