請選擇 進入手機版 | 繼續訪問電腦版

微剋多資訊

 找回密碼
 註冊

Login

搜索
回覆 4則 瀏覽 320篇

[防毒] [WMI] 解決瀏覽器遭HAO123、2345修改首頁問題

簽到天數: 5

該用戶今日未簽到

發表於 2018-1-10 14:28 | 顯示全部樓層 |閱讀模式
本帖最後由 chou_alan 於 2018-1-10 14:55 編輯

hao123查殺最根本有效方法
我的電腦是WIN8 64位元 IE11
因安裝了快樂試用軟體,因此IE及Google Chrome被hao123給綁架了,
執行瀏覽器時網址列先出現http://www.hao643.com/?
接著導向https://www.hao123.com/?tn=93288632_hao_pg
已將IE的目標的導向網址刪除,首頁重設為YAHOO,hao123相關的機碼也刪除(沒有hao643).
IE 的附加元件也全部刪除
執行過以下的網頁綁架移除軟件:
JRT
adwcleaner_7.0.6.0
software_removal_tool
一樣無法移除,重開機又跑出來

在網路上看到這篇

WMI的設定被竄改了

簡述內容如下:
WMI我也只瞭解一個大概,是個可以接受Script與API自動運作、從XP以後都內建的系統管理模組
wikipedia沒有中文記事,很不想說,但百毒百讀百科有提到可以利用通信阜直接植入vbscript...
目前通信阜的部分微軟大多已經修補過了,那種網路上找的到中文的入侵方法是沒有用的 XD
但另外就有找到,現在這種首頁綁架的手法早就已經進步到利用程式植入後執行vbscript了

簡單一點總結工作排程器(Task Scheduler) 能自動執行的是程式檔、WMI能自動執行程式碼
在MIS來說我絕對是菜到不行,早知道上班地方被資訊室給上了一堆鎖的電腦就拿來研究實驗練功力
好了閒話休說,先下載

  WMI Administrative Tools

安裝,以管理員權限執行WMI Event Viewer
點左上鋼筆圖示

出現Connect to namespace,點選右邊電腦圖示
這裡點選Connect後會出現下面視窗,Username跟Password不用管他,下圖按OK
回到先前畫面,Machine Name便會出現自己的機器名稱,然後在Starting Namespace填入root

這樣就可以叫出root樹狀結構,打開以後尋找CIMV2點選後按下面OK
現有ActiveScript,點選右上角圖示View instance properties可以查看內容
在ScriptText可以看到被綁去什麼地方,

確定是這裡在搞鬼後離開
回到這裡就可以點選中間X圖示Delete instance,刪除掉這個Event

除了圖上的Filiters以外,通常Consumers與Timers底下也會有,通通清掉
萬一還是沒好,則root底下所有項目都需檢查過,看看有沒有ScriptText被植入

完成後再用AdwCleaner就可以把系統清乾淨了,最上圖可以看出,AdwCleaner沒有清理到WMI這一塊
WMI這一塊不清理的原因,我猜大概就是上面所提到的,許多機關公司的MIS使用這個來執行一些特定工作
為什麼不用工作排程器,則是因為工作排程器比較容易被使用者亂搞或刪除
而且vbscript比傳統batch多了許多網路方面的支援
而理論上來說,如果你的電腦是自己的沒有MIS管
但是WMI裡面卻出現ScriptText,那九成九都是惡意軟體甚至病毒搞的
一般應用程式來說,開機執行或是排程工具就很夠用了,不會去用到WMI這一塊

微軟當初為什麼要挖這個洞我不是很瞭解,但是WIN7又開了一個新的洞 - PowerShell
我猜這應該會是下一個惡意工具軟體的明日之星吧 XD

最後要提一下,不管是Firefox或是Chrome,如果看到這種安全性提示的軟體網站,大多就是這種植入型的

當初下載回來的程式我有先扔到 VirusTotal 檢查過

https://www.virustotal.com/zh-tw/

到此_終於IE Chrome 瀏覽器回復正常免重灌系統以上是親身經歷體驗_WMI檔是我測試OK放雲盤可安心使用
  • 精闢分析,獨特觀點

    coolsonic 貢獻度 +10

簽到天數: 9

該用戶今日未簽到

發表於 2018-1-11 11:02 | 顯示全部樓層
對hao123的解決實在是非常的困難, 我最常用的方式是重灌系統, 否則實在是無法處理.
有人研究出"hao123查殺最根本有效方法"實在是大功一件. 但這種解決法,對系統不是很深入了解的我們,也仍困難重重, 看都看不太懂.
是否能有高手將這種解決法改寫成單一的程式, 我們只要在該程式上按一下鍵執行, 就將hao123去除掉呢?

使用道具

該用戶從未簽到

發表於 2018-1-11 15:03 | 顯示全部樓層
關於利用程式植入後執行vbscript
;個人電腦可停用Windows Script Host
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings]
"Enabled"=dword:00000000

百度旗下的網址導航網站Hao123,百度有針對Hao123病毒劫持發布專殺工具。
原文網址 https://www.landiannews.com/archives/31397.html
日期2017-03-04



使用道具

該用戶從未簽到

發表於 2018-1-11 15:08 | 顯示全部樓層
本帖最後由 zmac2007 於 2018-1-11 15:23 編輯

百度旗下的網址導航網站Hao123,百度有針對Hao123病毒劫持發布專殺工具。
原文網址 https://www.landiannews.com/archives/31397.html
日期2017-03-04   
我沒試過但看評論好像會另外安裝奇怪的東西

hao123為何能夠綁架你的瀏覽器主頁10多年之久
http://wemedia.ifeng.com/18480838/wemedia.shtml

從瀏覽器,火狐,IE移除hao123.com病毒
http://soft2secure.com.tw/knowledgebase/hao123


使用道具

簽到天數: 4

該用戶今日未簽到

發表於 2018-1-11 16:47 | 顯示全部樓層
在Win7時自己與友人也多次首頁被hao123綁架,,

也一樣搞好幾個小時都清除不乾淨,,

最有效的就是利用好幾種現成的解除綁架軟體全部殺一次才勉強恢復正常(好像也沒有100%6清除乾淨)

還好自己的電腦都有定期完整系統備份的習慣(還原回來就完全恢復了),,,對於朋友的電腦 不是另派首頁捷徑就是建議重新安裝系統解決

但自從改用Win10以來,,,好像hao123從此沒再來拜訪??

使用道具

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

Discuz! X

© 2009-2017 Microduo

快速回覆 返回頂部 返回列表