win10 被KMS 篡改主页 hao123

最新推荐文章于 2023-09-17 17:12:41 发布
最新推荐文章于 2023-09-17 17:12:41 发布
阅读量1.1w 收藏 7
点赞数 1
分类专栏: hao123 病毒 文章标签: 病毒 小马 KMS10 win10 hao123


win10系统下,新安装了office 2016,激活的时候好死不死的使用了KMS 10的一个激活软件。结果使用了重启之后

发现edge 和chrome主页被篡改为 hao123(或者打开之后被重定向到hao123).网上一般能找到的是删除注册表键值。

删除系统目录下的KMS10 KMS8,但是重启后会恢复成原样,直到...


http://bbs.wuyou.net/forum.php?mod=viewthread&tid=378398&extra=&page=2

ref:

装了Win10, 要激活, 于是网上下载了一个所谓的小马KMS10激活
没想到中招了, 结果浏览器总是被加小尾巴跳转到hao123

系统目录的KMS10文件夹删除了, 注册表搜索删除了. 快捷方式手动清理干净了, 添加的二个计划任务也删除了
可是没用啊
没用啊, 怎么办... Explorer进程加载的DLL 系统服务, 观察一圈没发现异常啊.  网上百度, Google好多圈
一点用也没, 都是些抄来抄去的贴子.  重装系统, 这不符合我的风格呀(其实是软件太多, 重装太麻烦)


于是装了一个HIPS, 发现原来是


scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了

清理命令,

删除方法如下:以管理员身份运行PowerShell
执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject


正常gwmi命令完成以后,在wmi Explorer 中已经看不到了ActiveScriptEventConsumer下的这个恶意的ScriptText了

完了以后,记得确保什么注册表之类的都清理OK,重启总算正常了。


dacer2505
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浏览器被定向至http://hao.169x.cn/?v=108
沉绪园
06-14 4785
原因浏览器快捷方式属性里被加上该URL参数,修改后依然被改过来。存在脚本事件监听。解决方法 下载WMI Administrative Tools 管理员身份运行 WMI Event Viewer Filters in : root\CIMV2 点 Connect 在__EventFilter下删除__EventFilter.name="VBScriptKids_filter" 修改快捷方式参数,去掉
解决win10通过KMS激活的出现浏览器主页被修改为hao.qquu.com问题
wolflikeinnocence的博客
04-29 6602
最安全最干净最快速的方法是下载腾讯管家进行杀毒,完成后整个世界清静了(下载完腾讯管家之后要卸载哦,这个软件很吃内存滴)你会回来感谢我的(太自恋了哈哈)...
KMS导致浏览器主页篡改解决方法
qq_45837896的博客
01-19 968
解决(缓解)使用KMS之后导致的浏览器(edge、firefox、chrome,其他不知道能不能用,应该也行)主页篡改问题
谷歌中hao123的删除和win10禁用更新
我想更黑一点
10-28 2292
谷歌中hao123的删除 1.点击谷歌浏览器图标打开属性页面,把中的“目标”中的“http://www.hao123.com/”改为"–profile-directory=Default" 参考博客:https://blog.csdn.net/rimuweinuan_/article/details/51906348 禁用win10更新 1.右击此电脑,点击管理,关闭Windows Update服...
彻底删除hao123主页的方法_MacOS彻底删除Boot Camp分区的方法
weixin_35223575的博客
01-24 689
在Mac Book上用Boot Camp装过一次Win10,之后很久不用了,想删除的时候误用了直接格式化Boot Camp分区的方法,发现无法将这个分区彻底移除,合并到原系统盘中。百度搜到一篇文章https://sspai.com/post/43699,然而并不成功。于是辗转谷歌,找到了解决办法:重启Mac,启动过程按住Command + S,进入Single user mode在命令行中输入/s...
win10 office无法找到许可证
01-14
解压缩,以管理员身份运行KMS-VL-ALL.cmd。然后在打开office就OK了。
ACT. 10, Off.rar_kmspico
09-22
kmspico for windowx 7/8/10 x64
korea KMS NANO10
03-27
korea KMS NANO10 在韩国网站上收集到宝贝哦,没用过的别下
Ubuntu Linux KMS服务
06-20
pykms:https://py-kms.readthedocs.io/en/latest/Keys.html
kms-server:kms的docker映像
04-13
kms server docker image 直接可用的地址: kms.luody.info kms version: 7zip 解压密码为: 2020 vlmcsd-1113-2020-03-28-Hotbird64 vlmcsd-1112-2018-10-20-Hotbird64 vlmcsd-1111-2017-06-17-Hotbird64 vlmcsd-...
解决利用WMI劫持浏览器主页hao123hao916等的修复工具及方法
02-10
该工具为最流行的版本 1.50.1131.1,75% 的安装比例,挺老的。使用完工具,要把所有浏览器的快捷方式,都改好。改完了,删掉任务栏上浏览器的快速启动项,重新添加改完了的浏览器快捷方式。
浏览器被劫持到http://hao.169x.cn/?v=108的解决办法
weixin_33843947的博客
02-23 1232
不管什么浏览器打开都是 http://hao.169x.cn/?v=108 ​1.下载wmi tool,(微软官网下载,我的下载地址是: http://120.52.73.52/download.microsoft.com/download/.NetStandardServer/Install/V1.1/NT5XP/EN-US/WMITools.exe) 2.安装好之后,打开(管理员权限)按照...
如何一招永久删除hao123流氓网页挟持
热门推荐
奔跑的小牛
03-22 24万+
五步快速搞定主页被非法篡改
使用激活工具后主页篡改hao123
不知语冰
10-15 2716
小马激活(KMS)早已于2014年停止更新,现在所谓小马激活网站所下载程序均含病毒篡改浏览器主页,且一般的方法无法解决,详见你的电脑里,有恶性病毒“苏拉克”吗? 解决方法: 下载火绒安全软件,在安全工具—>高级工具—>专杀工具,下载火绒恶意木马专杀工具,进行查杀(会找到若干病毒),立即处理并重启电脑即可解决。 曾用过的方法: 有用但不彻底的方法:删除浏览器快捷方式,将浏览器执行文件重命名,重新发送快捷方式到桌面,便可不被劫持主页。 无效方法: 浏览器主页设置正常 快捷方式并未加后缀 360等杀
解决hao123劫持chrome主页问题
AndroidGuy的专栏
12-15 6839
原文链接  :  http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/ 前言 最近帮别人激活系统,就下了一个小马激活软件,在电脑上打开了一下,确认能正常运行之后,就给别人发过去了。 本以为没什么事了,过了一段时间之后,像往常一样打开chrome,弹出的不是熟悉的Google主页,而是hao123,那种心情,就是参
通过 KMS 方式激活 Windows 10(11)
最新发布
eli的博客
09-17 3033
激活 Windows 10/Windows 11
使用KMS激活WINDOWS10后Chrome浏览器主页被强制篡改
qq_32115865的博客
06-25 8496
使用KMS激活WINDOWS10后Chrome浏览器主页被强制篡改背景1、使用杀毒软件查杀2、排查注册表3、清理浏览器4、排查快捷方式5、排查系统运行的进程6、找到的方法 背景 换了个新主板,本来不 用激活的Windows又要激活了,在网上随便下了一个KMS,傻傻地关掉杀安全软件进行激活后,发现还不是永久的,只有180天,本来想想算了。但激活后一打开平时用的Chrome,发现网页被劫持。极不甘心,试了一系列方法最后搞定,下面我简单讲讲解决的过程。 1、使用杀毒软件查杀 我个人觉得杀毒软件大部时候没什么用,所
浏览器 主页篡改 ,怎么都修改不回来(包括 Firefox ,google Chrome) KMS激活问题
Damon的博客
08-08 6万+
作为一个老司机,在装一个软件的时候,也中招了,网上一阵百度,无果,经过摸索,找到可行方法,share如下,喜欢的请点赞,谢谢。 主页被锁定到了 浏览器被 t999.cn 网页和 2345浏览器,变为默认主页,无法取消,更改。 先说原因吧,这个劫持主页的方法就是在快捷方式 –属性---目标 后面加了固定的网址,其实并没有修改你的主页,只是启动浏览器的第一下打开的不是你的主页,后面你进入浏览器...
win10家庭版激活密钥
08-28
对于win10家庭版激活密钥,有几种获得方式。一种是在某宝等电商平台上搜索"win10激活",购买合法的激活密钥,然后在系统中输入该密钥进行激活。这种方式需要注意,网上找的密钥大多数都是无效的,而且是一次性的,不支持重装系统。相比之下,在淘宝等网上购买的激活密钥通常是支持重装的,可以更好地满足用户的需求。 另外,还有一种无需密钥的激活方法可以尝试。首先,通过以管理员身份运行命令提示符,然后复制以下命令并回车:slmgr /skms kms.v0v.bid && slmgr /ato。接着会有提示点确定,等待激活成功即可。最后重启电脑,就会发现win10已经激活了。 综上所述,对于win10家庭版激活密钥,可以通过购买合法的激活密钥,或者尝试无需密钥的激活方法来实现。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [Win10激活(家庭版升级到专业版)带你5分钟解决](https://blog.csdn.net/zzy884269864/article/details/127631425)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [重装系统,只需一行命令,一键激活win10家庭版。清理电脑缓存垃圾。](https://blog.csdn.net/qq_44974888/article/details/124151460)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值