※ 引述《ebliswu ((空白))》之铭言:
: 一个多月前中了hao123
: 系统是win7x64+avast
: 病况是ie.firefox.chrome 捷径的后面都会被加上h ttp://so.wnoyng.cn/?r=x
: 开启浏览器后就被转到hao123了。
: 试过了各种强大的扫木马软件
: Adware Removal Tool
: ComboFix
: HijackThis
: HitmanPro_x64
: JRT
: Malwarebytes Anti-Malware
: Portable_SpyHunter_4-☆☆☆
: RepairDNS
: RogueKillerX64-☆☆☆
: TDSSKiller
: UltraAdwareKiller64
: ...
: ..
: .
: ☆☆☆加星号的感觉有扫到相关的东西!不过依然无效…
: host档、登录档、重装浏览器..,ptt及01上的文全爬了。
: 很遗憾的.....都没解。不过倒是扫了多的木马…硬盘的寿命应该也短少了许多。
: 索性在浏览器装了block site的外挂。眼不见为净…
: 对于对岸的骇客,感到肃然起敬,都想灌个卫士360来聊表敬意了。
: 也不想重灌windows,有空就上网查查hao123的解法!反正这支"毒"没啥危害。
: 就这样过了一个多月..
: 有天逛到了这篇文章
: http://blog.sina.com.cn/s/blog_8627ac3c010195ri.html
: 终于把hao123给杀了!不过心里倒是有点寞名的空虚....
: 给还再与hao123奋战的网友参考一下.
(原文留着要看的人应该会比较方便?)
最近也被绑架,看到这篇才有新解法,虽然才刚弄好还不确定有没有用,
但想说对某些人可能会有用所以做个整理兼补充。
里面提到要用WMI event viewer 填入 root\subscription
但我填后发现没看到文内所说的,
再翻文内的连结,另一个网志写到的是填入 root\CIMV2
( http://blog.csdn.net/scgump/article/details/50698443 )
就有发现东西了,当然就迅速删除,
此外那篇也有提到如果删不掉就改用管理员模式执行,
是觉得那篇写得更清楚(虽然是简体很眼花),
(虽然知道乡民都很厉害不会跟本鲁妹一样不熟管理员模式XD)
还有找到另一篇繁体的
http://kaizin564.blogspot.tw/2016/04/wmi-hao1232345.html
里面多补充到要顺便看一下Consumers与Timers(在左上方白色框内的选项)
果然也在Consumers有看到就一起删了(Timers倒是没看到),
最后用里面有提到的AdwCleaner再执行扫描(算是顺便打扫?)。
无聊估狗了一下病毒介绍,还好看起来只会绑首页而已(吧),
至少应该不会有其他地方受影响,
以上。