• :
  • hao.qquu8.com 劫持主页无法根除,重启后又出现-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [已经回复] hao.qquu8.com 劫持主页无法根除,重启后又出现

    [复制链接]

    该用户从未签到

    发表于 2015-8-2 23:51:09 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x

    qquu8.com病毒

    qquu8.com病毒


    ksm10激活了win10,但是出现浏览器主页被强制跳转到 http://hao.qquu8.com/?m=yx
    win10的2个浏览器都被劫持,IE和Edge浏览器的主页都被跳转到  http://hao.qquu8.com/?m=yx
    即使删除了网页快捷方式,重启后还是会出现浏览器被劫持。

    金山毒霸和金山急救箱都无法找出感染的病毒,
    请毒霸工程师研究,谢谢!
    使用道具 举报 回复
    C:\Windows\KMS10.exe
    删除这个就ok了。不影响激活。
    使用道具 举报 回复 支持 反对
    本帖最后由 ︷搁ɑ.浅▽ 于 2015-8-3 16:17 编辑

    请联系下右边小豹QQ,帮您看下具体问题!
    使用道具 举报 回复 支持 反对
    就是重启后还是会出现浏览器被劫持吗
    使用道具 举报 回复 支持 反对
       exe 后面的删除就可以了hao.qquu8.com  然后把它生成的快捷图标删除就可以了
    使用道具 举报 回复 支持 反对
    理欧·罗伦斯 发表于 2015-8-3 18:06
    就是重启后还是会出现浏览器被劫持吗

    是的,重启后桌面自动生成Edge网页快捷图标,如果我自己在桌面新建ie快捷图标也会自动被更改指向那个网站
    使用道具 举报 回复 支持 反对
    本帖最后由 JNL 于 2015-8-3 21:23 编辑
    hktvfs 发表于 2015-8-3 18:31
    exe 后面的删除就可以了hao.qquu8.com  然后把它生成的快捷图标删除就可以了

    这种方法我做过,无法修改,删除后重启还是自动出现快捷图标。肯定是木马没有清除,自动生成并修改快捷图标,但木马没有修改iexplore源程序。之所以这样觉得,我在 C:\Program Files\Internet Explorer 的直接点iexplore.exe,出现是正确的主页。
    使用道具 举报 回复 支持 反对
    这个图标是你中了广告类的木马
    使用道具 举报 回复 支持 反对
    理欧·罗伦斯 发表于 2015-8-3 21:23
    这个图标是你中了广告类的木马

    没有广告,只是修改主页,这是我见过最厉害的,即使我把注册表里主页都改回来,重启后注册表又自动改成那个网站。在本地组策略里禁止更改主页,开网页还是指向那个主页。关键是现在找不到那个木马。
    使用道具 举报 回复 支持 反对
    面清理向导,删掉这些。然后找到安装目录重新创建快捷方式
    使用道具 举报 回复 支持 反对
    金山卫士 系统优化 开机加速中的计划任务项目 把OEM8和OEM8SERVER关了
    WIN+R   regedit打开注册表 搜索注册表hao.qquu8.com把有这个的键值项目都删掉。。。
    具体也不知道怎么表达了。。。
    使用道具 举报 回复 支持 反对
    金山卫士 系统优化 开机加速中的计划任务项目 把OEM8和OEM8SERVER关了 WIN+R   regedit打开注册表 搜索注册表hao.qquu8.com把有这个的键值项目都删掉。。。 具体也不知道怎么表达了。。。
    使用道具 举报 回复 支持 反对
    遇到了和楼主一毛一样的问题,求解决
    使用道具 举报 回复 支持 反对
    iT自行车 发表于 2015-8-20 01:00
    遇到了和楼主一毛一样的问题,求解决

    可以添加请求:2293136441 看一下么?
    使用道具 举报 回复 支持 反对
    终于有救了!!!!

    惊人!!

    浏览器主页被劫持hao.qquu8.com或者是http://www.hao123.com/?tn=91286134_hao_pg的完美解决办法!!

    此办法也适用于ie浏览器、360安全浏览器、Microsoft edge浏览器等等浏览器!

    我找到一个解决办法,把快捷方式的属性里面删掉hao.qquu8.com,

    然后在属性安全设置项里面,

    把所有用户的写入权限设置为拒绝写入即可!
    使用道具 举报 回复 支持 反对
      火绒监控到的是 scrcons.exe  这个WMI的计划程序  基本上是每隔半小时创建一次浏览器快捷方式或者是更改
    在后面加网址
    但是用WMI TOOLS 又没有发现里面的计划
    网上有利用scrcons.exe 这个后门攻击的
    使用道具 举报 回复 支持 反对
    捕获.PNG
    使用道具 举报 回复 支持 反对
    1、我的注册表里找不
    2、我的c盘没有oem
    经过搜索,可以顺利解决。
    根据这个兄弟的文章
    http://blog.csdn.net/sheds/article/details/50976985
    于是网上下载了一个工具WIMExplorer 这里贴个下载地址 http://www.ks-soft.net/hostmon.eng/wmi/
    一看 ActiveScriptEventConsumer 里面果然有一个vbs脚本再一看内容, 这不正是查找多日的小尾巴吗, 果断删除
    util 里面有个工具WIMExplorer,很小。查看class里面的内容就可以看到脚本。
    从此世界清静了
    检查下面的快捷方式的属性里面。
    C:\Users\Public\Desktop,
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs,
    C:\Users\Administrator\Desktop,
    C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,
    C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,
    C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,
    C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"
    删除方法如下:
    以管理员身份运行PowerShell
    执行以下命令
    gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
    根据自己的class里面的内容修改,把里面的项目都清空。还有个他这里没写的。也是_下划线开头的。类似第一个同样方法。
    gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKIDLive_filter'""" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKIDLive_consumer'" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKIDLive_timer'" | Remove-WmiObject
    gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
    使用道具 举报 回复 支持 反对
    特来看看,知道了。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则