首页 > 科技资讯 > 抢救被流氓网站劫持的浏览器主页
2017
11-25

抢救被流氓网站劫持的浏览器主页

感谢 ArlenLuo的投递

最近重装了一次电脑。尽管什么百度系的软件我都没有下载,Chrome浏览器的主页还是被硬生生劫持了。每次点开后的主页是hao.qquu8.com这个链接,紧接着它会跳向hao123。电脑上原装的其他浏览器(IE和Edge)也是这样,弄得每次打开浏览器就被恶心一下,很是恼火。

抢救被流氓网站劫持的浏览器主页 - 第1张  | 爱好网

我们先来看看问题在哪。右键快捷方式查看属性:

抢救被流氓网站劫持的浏览器主页 - 第2张  | 爱好网

哦,原来快捷方式被改了,后面加了一段url。把它删了试试?

还是不行,几分钟后还是被改回来了。

我在很多平台上找了解决办法。有的试了没有效果,重新开机后还是一样的毛病,有的推荐装“管家”,但这种以毒攻毒的办法无异于饮鸩止渴。最后终于有一种靠谱的方法,经过实验和一点修改,完美解决!

主页被劫持的原理是一段通过WMI发起的定时自动运行脚本,WMI(Windows Management Instrumentation)可以理解成Windows系统后台运行的一个事件管理器。为查看WMI事件,先去下载WMITools并安装:WMI工具

之后打开WMI Event Viewer:

抢救被流氓网站劫持的浏览器主页 - 第3张  | 爱好网

点击左上角的笔的图标(Register For Events),在弹出的Connect to namespace的框直接点OK,Login的页面也直接点OK。点开左侧栏的EventFilter,再点击下级目录的项目:

抢救被流氓网站劫持的浏览器主页 - 第4张  | 爱好网

在右侧栏右键点击ActiveScriptEventConsumer,并通过view instant properties查看属性:

抢救被流氓网站劫持的浏览器主页 - 第5张  | 爱好网

在Script Text那一栏我们可以看到这段脚本:

抢救被流氓网站劫持的浏览器主页 - 第6张  | 爱好网

终于抓到了幕后黑手。可以看到这是一段VBScript代码,攻击目标涵盖了包括Chrome、360、Firefox、搜狗等30余种常见的浏览器。脚本以浏览器的安装地址为切入点,创建WshShell对象,进而生成植入了流氓网站的快捷方式。360浏览器有限定主页格式,于是这段脚本还特地修饰了流氓网站的链接。唉,流氓至此,也是服了。

查到了源头如何清清除这段造孽的脚本呢?直接在WMI Event Viewer中将_EventFilter.Name=”VBScriptKids_filter”右键删掉会被系统拒绝掉,需要去WMI Event Viewer的安装位置,右键以管理员方式运行exe文件才能删掉。之后还要把各个快捷方式都改回不带流氓网站的版本,包括桌面上的、开始菜单里的以及快速访问栏里的快捷方式,其中开始菜单里的快捷方式要去C:ProgramDataMicrosoftWindowsStart MenuPrograms里改掉。唉,一趟下来真是让人心累,好在最终浏览器摆脱了流氓网站的劫持:

抢救被流氓网站劫持的浏览器主页 - 第7张  | 爱好网

最后编辑:
作者:admin
这个作者貌似有点懒,什么都没有留下。