本帖最后由 Wayne_cen 于 2017-3-3 09:30 编辑
前言 WMI 是什么,它能帮我做什么? Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。WMI 通过编程和脚本语言为日常管理提供了一条连续一致的途径。例如,用户可以:
- 在远程计算机器上启动一个进程。
- 设定一个在特定日期和时间运行的进程。
- 远程启动计算机。
- 获得本地或远程计算机的已安装程序列表。
- 查询本地或远程计算机的 Windows 事件日志
以上来自微软网络的介绍 =================================================================
最近几天,我每次打开Opera 浏览器,老是打开两个www.hao123.com主页,因为自己一直都在用hao123作主页,opera又设置为“上次打开网站”,以为这是Opera的故障,所以每次都手动关闭一个。后来,我偶然用了一下IE,结果也打开hao123的主页,我自己一向没用IE,主页默认空白,怎么会是hao123呢?带着怀疑,我检查了IE的主页设置,发觉主页还是设了空白,这时候,我意识到浏览器被绑架了。
自己抓着头想了想,在Comodo,全防的情况下还中招,只能说是自己开放过去的。
先不管那个软件耍的流氓,必须快点找到是什么劫持了我的Opera和IE,根据以往经验,无非是开机自动启动和注册了未知服务,可惜注册表和服务都没找到可疑问题,最后,终于发现,Opera 启动方式后面有“http://hk.jtsh123.com”尾巴。
手动删除后,Opera正常了,IE同理,可是半天不到,“尾巴”又加上去了。没办法,只好用ProcessMonitor,把Opera的快捷方式监控起来,看看是那个进程搞得鬼。 1.启动ProcessMonitor,打开Filter菜单,勾选Drop Filtered Events,再打开Filter选项。
2.按下图创建监控C:\ProgramData\Microsoft\Windows\StartMenu\Programs\opera.lnk项除指定文件外,其它不选监控。
3.按OK后,然后就守株待兔,只要有读取和修改的操作,ProcessMonitor会详细记录,不用24小时对着它,自己该干啥就干啥去,过一段时间再看看没有记录即可。果然,几小时后,11点12分00秒记录了一个可疑的进程Scrcons进行了创建和写文件的操作,根据记录,Scrcons每4小时会对快捷方式进行一个操作,怪不得“尾巴”会自己长出来。
4.下一步,检查Opera快捷方式的修改时间,被修改的时间也是11点12分00秒
5.可以确定,Scrcons.exe修改了快捷方式。 经过一翻补脑搜索后,才知道Scrcons.exe是系统自带程序,调试、运行脚本代码用的,Scrcons劫持浏览器也有网友中过招,不过不是“http://hk.jtsh123.com”,是其它网站,以下为网友们提供的解决方法。 首先下载并安装WMI Tools工具。安装完成后,“以管理员身份运行”打开WMI Event Viewer,点击Register for Events,按下图步骤打开事件编辑器,查看运行的脚本。
在WMI Event Registration Editor 中,注册了一个VBSScriptLKKDS_filter脚本事件,我们继续打开事件的详细信息,看看有没有http://hk.jtsh123.com相关的东西,右键右边框体的Active Script,弹出菜单选择View Instance properties。
在打开的窗口中找到Script Text这一行,把Value的内容,复制下来。
Script Text 的Value内容中,明显出现我们要找的http://hk.jtsh123.com网址,以及受到影响的N种浏览器,可以确定这个脚本和劫持浏览器有关,接下来删除它就可以行了,在左边框体中,选择VBSScriptLKKDS_filter,右键菜单,选DeleteI instance。
到此,劫持浏览器被的“虫”被抓到了。
最后一步,手动把Opera和IE的“尾巴”去掉,就可以正常使用了,它再也不会自动生成。
附上所要用到的两个工具,省去大家搜索和下载的时间。 新手发贴,多多指教!
链接:http://pan.baidu.com/s/1miFMoBY密码:4z0l
| 
楼主: Wayne_cen
