|
感謝 ArlenLuo的投遞
最近重裝了一次電腦���。盡管什么百度系的軟件我都沒有下載�,Chrome瀏覽器的主頁還是被硬生生劫持了。每次點開后的主頁是hao.qquu8.com這個鏈接��,緊接著它會跳向hao123���。電腦上原裝的其他瀏覽器(IE和Edge)也是這樣���,弄得每次打開瀏覽器就被惡心一下,很是惱火��。
我們先來看看問題在哪����。右鍵快捷方式查看屬性:
哦,原來快捷方式被改了�����,后面加了一段url��。把它刪了試試���?
還是不行�,幾分鐘后還是被改回來了��。
我在很多平臺上找了解決辦法。有的試了沒有效果�,重新開機后還是一樣的毛病,有的推薦裝“管家”���,但這種以毒攻毒的辦法無異于飲鴆止渴。最后終于有一種靠譜的方法��,經過實驗和一點修改�,完美解決!
主頁被劫持的原理是一段通過WMI發(fā)起的定時自動運行腳本����,WMI(Windows Management Instrumentation)可以理解成Windows系統(tǒng)后臺運行的一個事件管理器。為查看WMI事件����,先去下載WMITools并安裝:WMI工具。
之后打開WMI Event Viewer:
點擊左上角的筆的圖標(Register For Events)���,在彈出的Connect to namespace的框直接點OK��,Login的頁面也直接點OK�。點開左側欄的EventFilter�����,再點擊下級目錄的項目:
在右側欄右鍵點擊ActiveScriptEventConsumer,并通過view instant properties查看屬性:
在Script Text那一欄我們可以看到這段腳本:
終于抓到了幕后黑手����。可以看到這是一段VBScript代碼����,攻擊目標涵蓋了包括Chrome、360���、Firefox���、搜狗等30余種常見的瀏覽器。腳本以瀏覽器的安裝地址為切入點��,創(chuàng)建WshShell對象��,進而生成植入了流氓網站的快捷方式�����。360瀏覽器有限定主頁格式���,于是這段腳本還特地修飾了流氓網站的鏈接����。唉,流氓至此�,也是服了。
查到了源頭如何清清除這段造孽的腳本呢�����?直接在WMI Event Viewer中將_EventFilter.Name=”VBScriptKids_filter”右鍵刪掉會被系統(tǒng)拒絕掉����,需要去WMI Event Viewer的安裝位置���,右鍵以管理員方式運行exe文件才能刪掉����。之后還要把各個快捷方式都改回不帶流氓網站的版本����,包括桌面上的、開始菜單里的以及快速訪問欄里的快捷方式��,其中開始菜單里的快捷方式要去C:\ProgramData\Microsoft\Windows\Start Menu\Programs里改掉。唉����,一趟下來真是讓人心累,好在最終瀏覽器擺脫了流氓網站的劫持:
|
