Win10论坛

Win10正式版系统下载主题平板

重定义Modern UI,打造完美Windows全新体验

Windows10下载|安装|新手宝典|必备软件

搜索
查看: 36337|回复: 274

[技术] 抓“虫”---主页被WMI方法劫持的解救方法和工具     [复制链接]

Rank: 5Rank: 5Rank: 5

UID
4276493
帖子
503
PB币
604
贡献
0
技术
0
活跃
1156
发表于 2017-3-1 16:29:23 |显示全部楼层
本帖最后由 Wayne_cen 于 2017-3-3 09:30 编辑

前言

WMI 是什么,它能帮我做什么?

Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。WMI 通过编程和脚本语言为日常管理提供了一条连续一致的途径。例如,用户可以:


  • 在远程计算机器上启动一个进程。
  • 设定一个在特定日期和时间运行的进程。
  • 远程启动计算机。
  • 获得本地或远程计算机的已安装程序列表。
  • 查询本地或远程计算机的 Windows 事件日志

以上来自微软网络的介绍

=================================================================


       最近几天,我每次打开Opera 浏览器,老是打开两个www.hao123.com主页,因为自己一直都在用hao123作主页,opera又设置为“上次打开网站”,以为这是Opera的故障,所以每次都手动关闭一个。后来,我偶然用了一下IE,结果也打开hao123的主页,我自己一向没用IE,主页默认空白,怎么会是hao123呢?带着怀疑,我检查了IE的主页设置,发觉主页还是设了空白,这时候,我意识到浏览器被绑架了。


       自己抓着头想了想,在Comodo,全防的情况下还中招,只能说是自己开放过去的。

comodo-1.png


  先不管那个软件耍的流氓,必须快点找到是什么劫持了我的OperaIE,根据以往经验,无非是开机自动启动和注册了未知服务,可惜注册表和服务都没找到可疑问题,最后,终于发现,Opera 启动方式后面有“http://hk.jtsh123.com”尾巴。

opera-1.png

  手动删除后,Opera正常了,IE同理,可是半天不到,“尾巴”又加上去了。没办法,只好用ProcessMonitor,把Opera的快捷方式监控起来,看看是那个进程搞得鬼。

     1.启动ProcessMonitor,打开Filter菜单,勾选Drop Filtered Events,再打开Filter选项。

Process Monitor-1.png


  2.按下图创建监控C:\ProgramData\Microsoft\Windows\StartMenu\Programs\opera.lnk除指定文件外,其它不选监控。

Process Monitor-2.png


   3.按OK后,然后就守株待兔,只要有读取和修改的操作,ProcessMonitor会详细记录,不用24小时对着它,自己该干啥就干啥去,过一段时间再看看没有记录即可。果然,几小时后,111200秒记录了一个可疑的进程Scrcons进行了创建和写文件的操作,根据记录,Scrcons4小时会对快捷方式进行一个操作,怪不得“尾巴”会自己长出来。

Process Monitor-4.png

  4.下一步,检查Opera快捷方式的修改时间,被修改的时间也是111200

Operaaaa.png

  5.可以确定,Scrcons.exe修改了快捷方式。

  经过一翻补脑搜索后,才知道Scrcons.exe是系统自带程序,调试、运行脚本代码用的,Scrcons劫持浏览器也有网友中过招,不过不是“http://hk.jtsh123.com”,是其它网站,以下为网友们提供的解决方法

       首先下载并安装WMI Tools工具。安装完成后,“以管理员身份运行”打开WMI Event Viewer,点击Register for Events,按下图步骤打开事件编辑器,查看运行的脚本。

以管理员身份运行.png


WMI Tool-1.png
WMI Tool-2.png

WMI Tool-3.png

WMI Tool-4.png

WMI Tool-5.png


   在WMI Event Registration Editor 中,注册了一个VBSScriptLKKDS_filter脚本事件,我们继续打开事件的详细信息,看看有没有http://hk.jtsh123.com相关的东西,右键右边框体的Active Script,弹出菜单选择View Instance properties

WMI Tool-6.png

   在打开的窗口中找到Script Text这一行,把Value的内容,复制下来。

WMI Tool-7.png

WMI Tool-8.png


     Script Text Value内容中,明显出现我们要找的http://hk.jtsh123.com网址,以及受到影响的N种浏览器,可以确定这个脚本和劫持浏览器有关,接下来删除它就可以行了,在左边框体中,选择VBSScriptLKKDS_filter,右键菜单,选DeleteI instance

WMI Tool-9.png


   到此,劫持浏览器被的“虫”被抓到了。


最后一步,手动把OperaIE的“尾巴”去掉,就可以正常使用了,它再也不会自动生成。



附上所要用到的两个工具,省去大家搜索和下载的时间。

新手发贴,多多指教!


链接:http://pan.baidu.com/s/1miFMoBY密码:4z0l




33

查看全部评分

这是一个马甲

UID
1612747
帖子
13701
PB币
15000
贡献
0
技术
4576
活跃
20726

十周年 7周年庆典勋章 我是大学生!

发表于 2017-3-1 17:35:32 |显示全部楼层
网吧很多电脑也是主页被改 非常顽固 不知道是不是这种方式

Rank: 2Rank: 2

UID
3718678
帖子
347
PB币
314
贡献
0
技术
0
活跃
603
发表于 2017-3-1 17:52:54 |显示全部楼层
写得比较详细,点赞!这个方法的确是对于浏览器老是被劫持,又不知问题出在那里的一种好教程!

Rank: 15Rank: 15Rank: 15

UID
9835
帖子
9964
PB币
1771
贡献
0
技术
92
活跃
2441
发表于 2017-3-1 17:56:22 |显示全部楼层
感谢分享

Rank: 2Rank: 2

UID
683889
帖子
125
PB币
148
贡献
0
技术
0
活跃
114
发表于 2017-3-1 17:57:18 |显示全部楼层
第一个工具的确是个好东西,WMITools是老套路了。

( ̄ω ̄=)二萌萌~~

Rank: 5Rank: 5Rank: 5

UID
4704294
帖子
703
PB币
970
贡献
0
技术
6
活跃
972

远景技术达人

发表于 2017-3-1 18:18:14 |显示全部楼层
本帖最后由 ailick 于 2017-3-1 18:29 编辑

谢谢楼主,我的疑问被解决了,这个问题最近也是缠了我好久,尽管快捷方式恢复了,但不知道如何导致的,现在好了~搞清了! wmi.PNG

点评

ailick  请使用管理员权限操作  发表于 2017-5-26 12:14
jacka007  我最后***的时候拒绝访问啊  发表于 2017-5-23 09:46
1

查看全部评分

豆豆她爹

UID
617900
帖子
8995
PB币
14730
贡献
0
技术
5
活跃
1410
发表于 2017-3-2 09:17:15 |显示全部楼层
不错的内容,收藏了

Rank: 5Rank: 5Rank: 5

UID
973335
帖子
610
PB币
675
贡献
0
技术
0
活跃
1277
发表于 2017-3-2 09:25:55 |显示全部楼层
感谢分享!

Rank: 9

UID
60343
帖子
5333
PB币
22471
贡献
0
技术
17
活跃
1249

十一周年 7周年庆典勋章 8周年庆典勋章

发表于 2017-3-2 09:33:29 |显示全部楼层
有些D   NS劫持的很   恶心。

Rank: 7Rank: 7Rank: 7

UID
522135
帖子
1978
PB币
1147
贡献
0
技术
0
活跃
1754
发表于 2017-3-2 09:42:25 |显示全部楼层
感谢楼主分享宝贵经验!

Rank: 9

UID
889198
帖子
4127
PB币
4758
贡献
0
技术
7
活跃
2010

十周年

发表于 2017-3-2 09:44:40 |显示全部楼层
很好的教程啊,浏览器劫持害我几次重装电脑,多谢分享

Rank: 5Rank: 5Rank: 5

UID
2027
帖子
336
PB币
3988
贡献
0
技术
301
活跃
1004

我是大学生! I'm Windows Phone用户 7周年庆典勋章 8周年庆典勋章

发表于 2017-3-2 09:52:22 |显示全部楼层
论坛里经常有人发标题引入注目的,诸如沸点文档下载器之类,用来下载百度和豆丁文档,实际上是用免费模块打包的工具而已,特征是文件名最后有下划线加数字。下划线后的数字不是版本号,而是用来做分发渠道的访问量统计,与劫持网址最后的数字是一样的,以楼主的为例,他下载的可能也是上面说的工具,安装文件名最后带"_3",所以劫持网址里最后hk.jtsh.com/s=3。
说下使用的后果。
一是用着效果太差,以沸点下载为例,虽然名字接近,但和冰点下载比,完全不在一个档次。
二是软件卸载后,只是删除了软件本身,劫持还在,还要用WMITools清理。
三是清理了注册表后,再用这类工具的话,软件在启动时会检测,并重新进行WMI劫持。

还有很多不明真相的各种点赞,歌功颂德,把自己卖了还帮别人数钱,无语了。

点评

ysh_0212  欢迎举报  发表于 2017-5-15 07:09
头像被屏蔽

Rank: 11Rank: 11Rank: 11

UID
903955
帖子
9051
PB币
0
贡献
0
技术
319
活跃
4214

Win10先驱者

发表于 2017-3-2 10:06:21 |显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

Rank: 2Rank: 2

UID
17873
帖子
371
PB币
350
贡献
0
技术
0
活跃
199
发表于 2017-3-2 10:37:34 |显示全部楼层
好文章,谢谢,收藏备用。

Rank: 5Rank: 5Rank: 5

UID
374290
帖子
912
PB币
1504
贡献
0
技术
4
活跃
1595

8周年庆典勋章

发表于 2017-3-2 10:41:09 |显示全部楼层
正好有这方面的问题

远景鲁国国王

UID
667432
帖子
7592
PB币
604
贡献
0
技术
2
活跃
1996

十一周年 7周年庆典勋章

发表于 2017-3-2 10:48:49 |显示全部楼层
  1. On Error Resume Next:Const link = "http://hao524.com/?r=sgxx&m=xx4":Const link360 = "http://hao524.com/?r=sgxx&m=xx4&s=3":browsers =
复制代码
解决啦

Rank: 7Rank: 7Rank: 7

UID
570494
帖子
1572
PB币
3266
贡献
0
技术
1
活跃
901
发表于 2017-3-2 11:04:17 |显示全部楼层
这是在电脑内找“流氓”的方法,浏览器被流氓恶意修改了导致问题与真正的劫持现象还是有不同的。
真正的劫持是来自运营商~~~

Rank: 2Rank: 2

UID
2492884
帖子
91
PB币
55
贡献
0
技术
0
活跃
521
发表于 2017-3-2 11:09:43 |显示全部楼层
感谢分享!!!

Rank: 5Rank: 5Rank: 5

UID
2098344
帖子
497
PB币
164
贡献
0
技术
0
活跃
1351
发表于 2017-3-2 11:46:56 |显示全部楼层
好贴,学习了,谢谢!

Rank: 5Rank: 5Rank: 5

UID
4276493
帖子
503
PB币
604
贡献
0
技术
0
活跃
1156
发表于 2017-3-2 11:58:56 |显示全部楼层
wxgx 发表于 2017-3-2 11:04
这是在电脑内找“流氓”的方法,浏览器被流氓恶意修改了导致问题与真正的劫持现象还是有不同的。
真正的劫 ...

运营商都是DNS劫持,我只听过,没遇到过。

点评

波王  我以前也被電信劫持過,直接打電話投  发表于 2017-11-20 14:50
回顶部
Copyright (C) 2005-2019 pcbeta.com, All rights reserved
Powered by Discuz!  苏ICP备17027154号
请勿发布违反中华人民共和国法律法规的言论,会员观点不代表远景论坛官方立场。
远景在线 | 远景论坛 | 苹果论坛 | Win10论坛 | Win8论坛 | Win7论坛 | WP论坛 | Office论坛 | 电脑硬件 | 安卓软件