win10 被KMS 篡改主页 hao123


win10系统下,新安装了office 2016,激活的时候好死不死的使用了KMS 10的一个激活软件。结果使用了重启之后

发现edge 和chrome主页被篡改为 hao123(或者打开之后被重定向到hao123).网上一般能找到的是删除注册表键值。

删除系统目录下的KMS10 KMS8,但是重启后会恢复成原样,直到...


http://bbs.wuyou.net/forum.php?mod=viewthread&tid=378398&extra=&page=2

ref:

装了Win10, 要激活, 于是网上下载了一个所谓的小马KMS10激活
没想到中招了, 结果浏览器总是被加小尾巴跳转到hao123

系统目录的KMS10文件夹删除了, 注册表搜索删除了. 快捷方式手动清理干净了, 添加的二个计划任务也删除了
可是没用啊
没用啊, 怎么办... Explorer进程加载的DLL 系统服务, 观察一圈没发现异常啊.  网上百度, Google好多圈
一点用也没, 都是些抄来抄去的贴子.  重装系统, 这不符合我的风格呀(其实是软件太多, 重装太麻烦)


于是装了一个HIPS, 发现原来是


scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了

清理命令,

删除方法如下:以管理员身份运行PowerShell
执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject


正常gwmi命令完成以后,在wmi Explorer 中已经看不到了ActiveScriptEventConsumer下的这个恶意的ScriptText了

完了以后,记得确保什么注册表之类的都清理OK,重启总算正常了。


没有更多推荐了,返回首页

私密
私密原因:
请选择设置私密原因
  • 广告
  • 抄袭
  • 版权
  • 政治
  • 色情
  • 无意义
  • 其他
其他原因:
120
出错啦
系统繁忙,请稍后再试