hao916,hao123,2345.com浏览器劫持-分析与清除

最新推荐文章于 2021-07-16 14:53:21 发布
最新推荐文章于 2021-07-16 14:53:21 发布
阅读量183 收藏
点赞数
原文链接:http://www.cnblogs.com/ChandlerVer5/p/broswer_gwmi.html
版权

装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
结果浏览器总是被加小尾巴跳转到hao123

http://hao.qquu8.com/?v=108&m=yx

几乎所有浏览器,都包括在内!

 

于是装了一个HIPS, 发现原来是


scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除

从此世界清静了

 

删除方法如下:

以管理员身份运行PowerShell

执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject

  name后面的都是名称,对应删除!

转载自:http://blog.csdn.net/sheds/article/details/50976985
https://zhuanlan.zhihu.com/p/24216079

转载于:https://www.cnblogs.com/ChandlerVer5/p/broswer_gwmi.html

dingmo2261
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
修复浏览器首页被hao123劫持的问题(亲身经历)
彼岸的云
12-03 2万+
数天前,发现电脑里的两个浏览器(IE,Chrome)打开后会自动访问一条链接(http://www.ttx123.cn/?u=lishuo998),该链接会自动跳转到(http://www.hao123.com/?tn=39015028_194_hao_pg,这后缀一看就是推广赚钱的...),我习惯浏览器打开只是显示空白页,遇到这情况肯定是不把他改回来心就不安滴。试过以下的所有方法之后我就纠结了—
如何一招永久删除hao123流氓网页挟持
热门推荐
奔跑的小牛
03-22 24万+
五步快速搞定主页被非法篡改!
清除hao123浏览器劫持小尾巴病毒
weixin_30856725的博客
01-07 433
有强迫症,每次打开浏览器都会重定向hao123网址,万分。 解决方法: 1:修改桌面的浏览器快捷方式。右键-->属性,删除“http://hao.qquu8.com/?m=yx&r=j3”,需要全部删除。 2:下载 WMI Tools 点那个钢笔图标,一路 OK ,然后找到事件删除就可以了。同时别忘了手动删除所有浏览器快捷方式属性-属性-目标后面的网址。 下载地址:...
使用KMS激活软件导致浏览器呗篡改解决办法
滑尧伟的博客
07-16 1105
浏览器被首页被劫持,主要是在启动程序里面修改了首页。如图 如果这里没有就打开文件所在文章再看一下,把这里修改了只是暂时的好了,一重启发现又被改了。用火绒查找病毒发现其实是这个程序修改了wmiscrpt://root\CIMV2:VBScriptKids_consumer 用WMI工具查看就是下面这个鬼东西 用火绒把这个删除了就解决根本原因了,或者是用WMI事件查看器把这个删除了就ok了。 不同版本可能有区别,大同小异~ WMI工具下载地址https://download.csdn...
解决利用WMI劫持浏览器主页为hao123hao916等的修复工具及方法
02-10
该工具为最流行的版本 1.50.1131.1,75% 的安装比例,挺老的。使用完工具,要把所有浏览器的快捷方式,都改好。改完了,删掉任务栏上浏览器的快速启动项,重新添加改完了的浏览器快捷方式。
关于浏览器hao123劫持的解决办法
入山砍柴郎
03-21 1万+
关于被hao123劫持,网上有好多方法,然而可用,有效的却不多,找到一个实用的方法。顺便写写理解和想法(讲道理,看别人然后自己总结的东西算不算原创,这个有必要思考一下) 1. 打开c:\windows\system32\drivers\etc 找到host文件用写字板/记事本打开 2. 查看是否有hao123,如果有,删之。 3. 第2步无论做没做,都在host文件最后空白处粘...
浏览器hao123.com劫持解决办法
01-19
浏览器hao123.com劫持是一种常见的网络现象,主要表现为用户在打开浏览器时,不论输入哪个网址,都会被强制重定向到hao123.com网站。这种情况通常是由于恶意软件、浏览器插件或者不安全的浏览习惯导致的。解决这个...
url.hao123.aspjzy(1).rar_123.byios1:59898_www.yuecai.com123
09-21
标题中的"**url.hao123.aspjzy(1).rar_123.byios1:59898_www.yuecai.com123**"暗示这是一个关于hao123网站源代码的压缩文件,其中可能包含了一些ASP(Active Server Pages)文件和其他相关资源。"123.byios1:59898...
浏览器hao123,hao524劫持的解决办法
01-03
解决办法: 1、修改快捷方式、在快捷方式上右击属性对话框手工删除网址的部分 2、加载了启动项的,在注册表、启动项、服务中搜索相关网址信息,找到后删除 3、使用wmitools工具删除wmi恶意代码 ...
hao123浏览器(百度浏览器hao123专版) v1.4.zip
07-17
hao123浏览器是百度专为hao123特别定制的,深度集成了上亿网民每天正在使用的hao123上网导航。hao123浏览器,秉承了上网导航简单上网的理念,更快更简单地服务于广大网民。       相关阅读:屌爆了!百度...
WMI 定时启动木马
zzz3265的专栏
01-04 6309
现象: 某些浏览器的快捷方式经常性自动被修改, 相当于主页修改成 hao916.com/..... 使用WMI_Tools 工具 找到以下类 __EventFilter ActiveScriptEventConsumer __FilterToConsumerBinding __TimerInstruction 删除里面相关的实例 木马脚本如下 On Error
浏览器首页被劫持为http://hao.169x.cn/的修复方法
jianghuqixialb的专栏
04-09 2万+
转载自:http://blog.sina.com.cn/s/blog_8be14f360102vyrc.html 问题描述: (1)电脑内安装的 QQ 浏览器、Chrome 浏览器、Internet Explorer 浏览器等多款浏览器的首页都变成了 http://hao.169x.cn/ ,然后跳转hao123; (2)发现是浏览器的快捷方式中的“目标”中被追加了一串 http
解决hao123劫持chrome主页问题
AndroidGuy的专栏
12-15 6859
原文链接  :  http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/ 前言 最近帮别人激活系统,就下了一个小马激活软件,在电脑上打开了一下,确认能正常运行之后,就给别人发过去了。 本以为没什么事了,过了一段时间之后,像往常一样打开chrome,弹出的不是熟悉的Google主页,而是hao123,那种心情,就是参
hao643.com劫持(修改快捷方式跳转hao123.com
ahs74497的博客
05-15 981
>症状:所有浏览器快捷方式,都被加上尾巴,例如IE的:"C:\Program Files\Internet Explorer\iexplore.exe" http://hao643.com/?r=ggggg&m=c104手工去掉尾巴后,每隔一定时间(网友说是30分钟)后,尾巴重新被加上。PS:这病毒仅修改快捷方式,应该没有其它病毒特征。 >解决方案:1.安装WMIT...
解决hao123胁持chrome主页问题
Lavi_Driver的博客
08-20 1890
现象:打开chrome,弹出的不是熟悉的Google主页,而是hao123。排查:首先检查了一下chrome的主页设置,发现没有问题,依然是原来的google.com。然后到chrome的安装目录,直接双击打开chrome程序,没有问题。接着检查快捷方式,右键Google Chrome->属性,在弹出的快捷方式的属性窗口。发现快捷方式的目标链接已经被修改,多加了一个启动参数:"C:\Program
win10 被KMS 篡改主页 hao123
dacer2505的专栏
11-10 1万+
win10系统下,新安装了office 2016,激活的时候好死不死的使用了KMS 10的一个激活软件。结果使用了重启之后 发现edge 和chrome主页被篡改为 hao123(或者打开之后被重定向到hao123).网上一般能找到的是删除注册表键值。 删除系统目录下的KMS10 KMS8,但是重启后会恢复成原样,直到... http://bbs.wuyou.net/forum.ph
hao123劫持浏览器主页
最新发布
06-11
针对hao123劫持浏览器主页的问题,您可以尝试以下方法解决: 1. 打开浏览器,点击浏览器右上角的“设置”图标,选择“选项”或“设置”,找到“首页”选项,将hao123网址删除,设置为您需要的主页。 2. 打开浏览器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值