※ 引述《ebliswu ((空白))》之銘言:
: 一個多月前中了hao123
: 系統是win7x64+avast
: 病況是ie.firefox.chrome 捷徑的後面都會被加上h ttp://so.wnoyng.cn/?r=x
: 開啟瀏覽器後就被轉到hao123了。
: 試過了各種強大的掃木馬軟體
: Adware Removal Tool
: ComboFix
: HijackThis
: HitmanPro_x64
: JRT
: Malwarebytes Anti-Malware
: Portable_SpyHunter_4-☆☆☆
: RepairDNS
: RogueKillerX64-☆☆☆
: TDSSKiller
: UltraAdwareKiller64
: ...
: ..
: .
: ☆☆☆加星號的感覺有掃到相關的東西!不過依然無效…
: host檔、登錄檔、重裝瀏覽器..,ptt及01上的文全爬了。
: 很遺憾的.....都沒解。不過倒是掃了多的木馬…硬碟的壽命應該也短少了許多。
: 索性在瀏覽器裝了block site的外掛。眼不見為淨…
: 對於對岸的駭客,感到肅然起敬,都想灌個衛士360來聊表敬意了。
: 也不想重灌windows,有空就上網查查hao123的解法!反正這支"毒"沒啥危害。
: 就這樣過了一個多月..
: 有天逛到了這篇文章
: http://blog.sina.com.cn/s/blog_8627ac3c010195ri.html
: 終於把hao123給殺了!不過心裏倒是有點寞名的空虛....
: 給還再與hao123奮戰的網友參考一下.
(原文留著要看的人應該會比較方便?)
最近也被綁架,看到這篇才有新解法,雖然才剛弄好還不確定有沒有用,
但想說對某些人可能會有用所以做個整理兼補充。
裡面提到要用WMI event viewer 填入 root\subscription
但我填後發現沒看到文內所說的,
再翻文內的連結,另一個網誌寫到的是填入 root\CIMV2
( http://blog.csdn.net/scgump/article/details/50698443 )
就有發現東西了,當然就迅速刪除,
此外那篇也有提到如果刪不掉就改用管理員模式執行,
是覺得那篇寫得更清楚(雖然是簡體很眼花),
(雖然知道鄉民都很厲害不會跟本魯妹一樣不熟管理員模式XD)
還有找到另一篇繁體的
http://kaizin564.blogspot.tw/2016/04/wmi-hao1232345.html
裡面多補充到要順便看一下Consumers與Timers(在左上方白色框內的選項)
果然也在Consumers有看到就一起刪了(Timers倒是沒看到),
最後用裡面有提到的AdwCleaner再執行掃描(算是順便打掃?)。
無聊估狗了一下病毒介紹,還好看起來只會綁首頁而已(吧),
至少應該不會有其他地方受影響,
以上。