装了Win10, 要激活, 于是论坛下载了一个KMS10激活, (我是很相信论坛的啊, 没想到...)
结果浏览器总是被加小尾巴跳转到hao123

http://hao.qquu8.com/?v=108&m=yx

几乎所有浏览器,都包括在内!

于是装了一个HIPS, 发现原来是

scrcons.exe 他在修改快捷方式. 于是百度之, 引出来WMI, 仔细一看, 乖乖, 三无后门
(“三无”后门的核心就是WMI中的永久事件消费者ActiveScriptEventConsumer)

于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除

从此世界清静了

删除方法如下:

以管理员身份运行PowerShell

执行以下命令

gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject

gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject

gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject

gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject

  name后面的都是名称,对应删除!

转载自:http://blog.csdn.net/sheds/article/details/50976985
https://zhuanlan.zhihu.com/p/24216079

最新文章

  1. Xamarin的不归路-生成安卓错误2
  2. java web学习总结(十六) -------------------数据库连接池
  3. 论文阅读(Chenyi Chen——【ACCV2016】R-CNN for Small Object Detection)
  4. 使linux服务器默认使用中文字符集zh_CN.UTF-8
  5. SQLSERVER中如何忽略索引提示
  6. javaScript事件(二)事件处理程序
  7. 向量时钟Vector Clock in Riak
  8. jdbc模拟电话本。
  9. smarty中增加类似foreach的功能自动加载数据方法
  10. Oracle表名、列名、约束名的长度限制
  11. 我看的公开课系列--《TED:对无知的追求》 by stuart firestein
  12. java数组使用技巧
  13. es6 箭头函数(arrow function) 学习笔记
  14. ThinkPHP3.2 生成二维码
  15. Docker容器技术
  16. Qt之QComboBox定制(二)
  17. linux的压缩解压命令全解
  18. Apache的ProxyPass简单使用
  19. kubenets installation--ranchor-mesos
  20. HDU-6356 Glad You Came (线段树)

热门文章

  1. python安装后推荐的安装两款文本编辑器
  2. TCP连接建立和终止小结
  3. JS--浏览器兼容之new Date
  4. SCNU 2015ACM新生赛初赛【1001~1011】个人解题思路
  5. Checkstyle:整洁你的代码
  6. Which language is best, C, C++, Python or Java?什么编程语言最好
  7. .NET程序员细数Oracle与众不同的那些奇葩点
  8. 为什么要在游戏开发中使用ECS模式
  9. 如何使用DotfuscatorPro_4.9对软件进行加密
  10. Ajax入门(一)