项目场景:
记录一次浏览器快捷方式被劫持的解决方法
问题描述
昨天下了个小工具,然后今天一大早,开机发现杀毒软件报错弹窗,报scrcons.exe恶意创建快捷方式
原因分析:
我谨慎的去上网搜了一下这个进程,发现是系统进程(该文件每天会定时执行脚本,但在被注入了非法脚本后会就会每天定时运行的三无后门)参考文章
我顶,系统文件不能随便干,这就麻爪了,要是他不带动的,我放着也无所谓,但他两个小时报一次,真的难顶,后面我找了下处理方法 参考文章
发现是这个文件被劫持了,需要用到一个查看WMI事件的工具来把异常项干掉(WMITools)
解决方案:
1.下载 WMITools(0积分下载)
2.安装软件,一路下一步
3.安装完打开软件
4.点击左上角的钢笔图标
5.在弹出的窗口输入rootCIMV2
6.默认点OK
7.在打开的窗口下方,把VBS那一串干掉即可
8.最后记得把被更改的浏览器快捷方式改回来(把后面那串http开头的干掉)