近日在網上相續看到有網友表示自己在下載使用了VeryCD下載鏈接查看器這款工具以后，再打開瀏覽器就被直接跳轉到 www.2345.com/?kunown 這個導航頁面了，而且打開多個瀏覽器：IE、Chrome、Firefox、Opera、Safari、Maxthon，均相同癥狀，檢查瀏覽器首頁設置——均正常！

最后發現，原來快速啟動欄的IE瀏覽器快捷命令被其修改，修改后的類似如下圖，于是認為就是普通的修改快捷方式，手工刪除 2345 網址的部分，但半小時后再次被更改了。考慮到可能加載了啟動項，在注冊表、啟動項、服務等中均未查找到相關信息，重啟后IE快捷方式被重新篡改。嘗試了事件查看器和任務計劃，均未在里面查出任何信息。

之后又安裝了超級兔子、360、exterminateit等工具進行檢查，也未檢出。

打開ProcessMonitor進行監視，發現每隔30分鐘出現一個scrcons.exe進程自動啟動并修改快速啟動欄的命令，然后自動關閉（幸虧是30分鐘一次，你要是24小時一次，那我就杯具了……），修改Win7下opera快速啟動圖標路徑類似如下：

C:/Users/iefans/AppData/Roaming/Microsoft/Internet Explorer/Quick Launch/User Pinned/TaskBar/Opera12.01 1532.lnk

查找資料，發現這應該是一個通過WMI發起的定時自動運行腳本。要查看WMI事件，到以下地址下載WMITool并安裝

http://www.microsoft.com/en-us/download/details.aspx?id=24045

安裝后打開WMI event viewer，點擊左上角register for events，彈出Connect to namespace框，填入“root/subscription”（手工復制粘貼啊，默認出現的不是這個），確定，出現下圖：

點擊左側_EventFilter:Name="unown_filter"，再至右側右鍵點擊ActiveScriptEventConsume r Name="unown"，右鍵選擇view instant properties，如下圖：

查看ScriptText項可知，這是一段VBScript調用系統服務間隔30分鐘執行一次，將所有瀏覽器調用加上“http://www.2345.com/?kunown”！抓住你了~！隱藏的夠深，沒常駐進程，沒有文件（把自己存儲在WMI數據庫中）。

受到影響的瀏覽器有（各色瀏覽器，差不多齊了）：

"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"