前言 WMI 是什么,它能帮我做什么?
Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。WMI 通过编程和脚本语言为日常管理提供了一条连续一致的途径。例如,用户可以:
- 在远程计算机器上启动一个进程。
- 设定一个在特定日期和时间运行的进程。
- 远程启动计算机。
- 获得本地或远程计算机的已安装程序列表。
-
查询本地或远程计算机的 Windows 事件日志
最近几天,我每次打开Opera 浏览器,老是打开两个www.hao123.com 主页, 因为自己一直都在用hao123 作主页,opera 又设置为“上次打开网站”,以为这是Opera 的故障,所以每次都手动关闭一个。后来,我偶然用了一下IE ,结果也打开hao123 的主页,我自己一向没用IE ,主页默认空白,怎么会是hao123 呢?带着怀疑,我检查了IE 的主页设置,发觉主页还是设了空白,这时候,我意识到浏览器被绑架了。
自己抓着头想了想,在Comodo, 全防的情况下还中招,只能说是自己开放过去的。
先不管那个软件耍的流氓,必须快点找到是什么劫持了我的Opera 和IE ,根据以往经验,无非是开机自动启动和注册了未知服务,可惜注册表和服务都没找到可疑问题,最后,终于发现,Opera 启动方式后面有“ http://hk.jtsh123.com ”尾巴。
手动删除后, Opera 正常了, IE 同理,可是半天不到,“尾巴”又加上去了。没办法,只好用 ProcessMonitor ,把 Opera 的快捷方式监控起来,看看是那个进程搞得鬼。 1. 启动ProcessMonitor ,打开Filter 菜单,勾选Drop Filtered Events ,再打开Filter 选项。
2.按下图创建监控C:\ProgramData\Microsoft\Windows\StartMenu\Programs\opera.lnk 项 除指定文件外,其它不选监控。
3 .按OK 后,然后就守株待兔,只要有读取和修改的操作,ProcessMonitor 会详细记录,不用24 小时对着它,自己该干啥就干啥去,过一段时间再看看没有记录即可。果然,几小时后,11 点12 分00 秒记录了一个可疑的进程Scrcons 进行了创建和写文件的操作,根据记录,Scrcons 每4 小时会对快捷方式进行一个操作,怪不得“尾巴”会自己长出来。
4.下一步,检查 Opera 快捷方式的修改时间,被修改的时间也是 11 点 12 分 00 秒
5.可以确定, Scrcons.exe 修改了快捷方式。
经过一翻补脑搜索后,才知道Scrcons.exe 是系统自带程序,调试、运行脚本代码用的,Scrcons 劫持浏览器也有网友中过招,不过不是“ http://hk.jtsh123.com ”,是其它网站, 以下为网友们提供的解决方法。
首先下载并安装WMI Tools 工具。 安装完成后,“以管理员身份运行”打开WMI Event Viewer ,点击Register for Events ,按下图步骤打开事件编辑器,查看运行的脚本。
在 WMI Event Registration Editor 中,注册了一个 VBSScriptLKKDS_filter 脚本事件,我们继续打开事件的详细信息,看看有没有 http://hk.jtsh123.com 相关的东西,右键右边框体的 Active Script ,弹出菜单选择 View Instance properties 。
在打开的窗口中找到Script Text 这一行,把Value 的内容,复制下来。
Script Text 的Value 内容中,明显出现我们要找的 http://hk.jtsh123.com 网址,以及受到影响的N 种浏览器,可以确定这个脚本和劫持浏览器有关,接下来删除它就可以行了,在左边框体中,选择VBSScriptLKKDS_filter ,右键菜单,选DeleteI instance 。
到此,劫持浏览器被的“虫”被抓到了。
最后一步 ,手动把Opera 和IE 的“尾巴”去掉,就可以正常使用了,它再也不会自动生成。
附上所要用到的两个工具,省去大家搜索和下载的时间。
新手发贴,多多指教!
链接:http://pan.baidu.com/s/1miFMoBY 密码:4z0l
