主页被劫持ITeye - 牛牛娱乐

主页被劫持ITeye

2019年03月28日08时42分53秒 | 作者: 芷梦 | 标签: 主页,流氓,脚本 | 浏览: 1195

主页被绑架的原理是一段经过WMI建议的守时主动运转脚本,WMI(Windows Management Instrumentation)能够了解成Windows体系后台运转的一个事情管理器。为检查WMI事情,先去下载WMITools并装置:。

之后翻开WMI Event Viewer:

noscript img src="https://pic2.zhimg.com/50/v2-3246c0019fcd49aa591733efb67a0e10_hd.jpg" data-caption="" data-rawwidth="596" data-rawheight="355" width="596" data-original="https://pic2.zhimg.com/v2-3246c0019fcd49aa591733efb67a0e10_r.jpg" /noscript

点击左上角的笔的图标(Register For Events),在弹出的Connect to namespace的框直接点OK,Login的页面也直接点OK。点开左边栏的EventFilter,再点击下级目录的项目:

总算抓到了暗地黑手。能够看到这是一段VBScript代码,进犯方针涵盖了包含Chrome、360、Firefox、搜狗等30余种常见的浏览器。脚本以浏览器的装置地址为切入点,创立WshShell目标,从而生成植入了流氓网站的快捷方法。360浏览器有限制主页格局,所以这段脚本还特别润饰了流氓网站的链接。唉,流氓至此,也是服了。

查到了源头怎么清铲除这段造孽的脚本呢?直接在WMI Event Viewer中将_EventFilter.Name="VBScriptKids_filter"右键删掉会被体系回绝掉,需要去WMI Event Viewer的装置方位,右键以管理员方法运转exe文件才干删掉。之后还要把各个快捷方法都改回不带流氓网站的版别,包含桌面上的、开始菜单里的以及快速拜访栏里的快捷方法,其间开始菜单里的快捷方法要去C:\ProgramData\Microsoft\Windows\Start Menu\Programs里改掉。唉,一趟下来真是让人心累,好在终究浏览器摆脱了流氓网站的绑架:

当然在这时候,你能够点击之前下载的WMI装置包,把WMI系列东西卸载掉。

最终提一下电脑中毒的原因。我剖析是前几天用了小马激活这个东西来激活Windows体系,其时并没有激活成功反而还引来了病毒。引荐一款,能够成功激活Windows体系和Office软件,也不会招来一些流氓脚本:。

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表牛牛娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章

阅读排行

  • 1
  • 2

    主页被劫持ITeye

    主页,流氓,脚本
  • 3

    debian8架起nginx+php+mysqlITeye

    修正,架起,装置
  • 4
  • 5

    常用数据库操作ITeye

    数据库,数据,字段名
  • 6

    UDP 单播、播送和多播ITeye

    多播,播送,单播
  • 7
  • 8

    一个简略的切开shellITeye

    一个,文件,体系
  • 9

    Mac/Linux 装备环境变量ITeye

    这个,文件,增加
  • 10

    rabbit及redis 装置ITeye

    装置,文件,进入