win10系統下,新安裝了office 2016,激活的時候好死不死的使用了KMS 10的一個激活軟件。結果使用了重啓之後
發現edge 和chrome主頁被篡改爲 hao123(或者打開之後被重定向到hao123).網上一般能找到的是刪除註冊表鍵值。
刪除系統目錄下的KMS10 KMS8,但是重啓後會恢復成原樣,直到...
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=378398&extra=&page=2
ref:
|
裝了Win10, 要激活, 於是網上下載了一個所謂的小馬KMS10激活 沒想到中招了, 結果瀏覽器總是被加小尾巴跳轉到hao123 系統目錄的KMS10文件夾刪除了, 註冊表搜索刪除了. 快捷方式手動清理乾淨了, 添加的二個計劃任務也刪除了 可是沒用啊 沒用啊, 怎麼辦... Explorer進程加載的DLL 系統服務, 觀察一圈沒發現異常啊. 網上百度, Google好多圈 一點用也沒, 都是些抄來抄去的貼子. 重裝系統, 這不符合我的風格呀(其實是軟件太多, 重裝太麻煩) 於是裝了一個HIPS, 發現原來是 scrcons.exe 他在修改快捷方式. 於是百度之, 引出來WMI, 仔細一看, 乖乖, 三無後門 (“三無”後門的核心就是WMI中的永久事件消費者ActiveScriptEventConsumer) 於是網上下載了一個工具WIMExplorer 這裏貼個下載地址 http://www.ks-soft.net/hostmon.eng/wmi/ 一看 ActiveScriptEventConsumer 裏面果然有一個vbs腳本再一看內容, 這不正是查找多日的小尾巴嗎, 果斷刪除 從此世界清靜了 |
清理命令,
刪除方法如下:以管理員身份運行PowerShell
執行以下命令
gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
正常gwmi命令完成以後,在wmi Explorer 中已經看不到了ActiveScriptEventConsumer下的這個惡意的ScriptText了
完了以後,記得確保什麼註冊表之類的都清理OK,重啓總算正常了。