设为首页收藏本站
开启辅助访问 【验证码异常^等待验证会员^邮件激活问题】

999宝藏网

  找回密码
 

QQ登录

只需一步,快速开始

999宝藏网»首页 资源专区 『福利资源分享』 关于被hao123、2345等主页劫持和被捆绑的解决办法
返回列表
  • 1897阅读
  • 0回复

[经验分享] 关于被hao123、2345等主页劫持和被捆绑的解决办法

[复制链接]
令狐冲

7522

主题

1425

回帖

3万

积分

宝藏院长

Rank: 16Rank: 16Rank: 16Rank: 16

回帖
1425
金币
28082
威望
88
积分
38195
股份
940
热心值
596
宝藏币
26

最佳新人活跃会员灌水天才新人进步宝藏新人进步勋章
发表于 2016-7-31 15:20:44 | 显示全部楼层 |阅读模式
前言:前不久发个一个软件xx文库下载器,可是有人发贴说,主页被劫持捆绑了?怎么办



今天在xx论坛看到一个帖子 说这办法可以 然后我试了一下 果然有这个在,但是我没有被捆绑主页?奇怪了?我安装了电脑管家锁定了主页,应该是这样


教程开始:
1.到以下地址下载WMITool并安装


http://www.microsoft.com/en-us/download/details.aspx?id=24045


2.安装后打开WMI event viewer,点击左上角 register for events,弹出Connect to namespace框,填入“rootCIMV2”,确定


115152jzvf88ysy57d3fcz.png 115558ve3fb1e6qt8heayy.png


3.然后把在Name:VBScniptLKKids_filter 打上勾,如何打上勾?看下方图片
120350u0lgz8sw8l2w8s2n.png


4.打上勾以后,在上方有一个×的图标,点击× ,点击是
120703r0e4et3btp3c3btf.png


最后变成这样


120809pdv8nhdrlvd805m6.png




如何解决被2345主页劫持呢?


安装后打开WMI event viewer,点击左上角 register for events,弹出Connect to namespace框,填入“rootsubscription”,确定。
120940towzm29pmpx05odn.png


点击左侧_EventFilter:Name="unown_filter",再至右侧右键点击ActiveScriptEventConsume r Name="unown",选择view instant properties。


121026cslynwues99uznnn.png

查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://www.2345.com/”!



最后,清除方法:在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除!



如果删除不掉的话,到WMITool安装路径(例如:C:Program Files (x86)WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!



还要手动将快速启动栏中,将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉!





郑重说明:文章来源网络转载  希望能够帮助一些被这些主页捆绑而烦恼的朋友们。




  对于比较懒的朋友可以下载我提供的链接
游客,如果您要查看本帖隐藏内容请回复



初级方法:
首先,是一种初级的锁定方法。一般可以较容易的解决。例如修改IE工具栏、参数、组策略、注册表等。

       IE工具栏:打开IE,“设置/Internet选项/常规/主页”,修改主页即可。

目标参数:在桌面IE图标上点击鼠标右键/属性,“目标(T)”中默认应该是:"C:\Program Files\Internet Explorer\iexplore.exe",如果这段代码后面添加了网址,请删除!以及C:\Users\用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch文件夹下的快捷方式属性中“目标(T)”如果有也要修改。

  组策略:按“Windows+R”组合键,输入“gpedit.msc”即可打开组策略。点击左侧:“用户配置/管理模板/Windows组件/Internet Explorer”,双击右侧“禁用更改主页设置”,点击“已启用”,在主页栏填写需要设置的主页,点击“确定”即可。

注册表:运行“regedit”命令,打开注册表,如下条目下“Default_Page_URL”和“Start Page”值如果存在主页链接,删除即可。
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

DNS劫持:网络运营商通过DNS劫持将浏览器跳转到流氓主页,这时我们可以通过修改DNS来进行屏蔽。

HOSTS文件劫持:通过修改“C:\Windows\System32\drivers\etc”下hosts文件进行网页跳转,将其中带有相关网页的那一行代码删除即可。
         其次,是一种高级的篡改方法。例如通过WMI脚本劫持、驱动劫持等。如果是这种方法锁定的主页,普通用户很难通过简单的方法修改,必须找到根源。由于涉及的知识很多,无法展开介绍,这里提供一下思路,供有基础的朋友参考。
        我们可以通过进程监视工具ProcessMonitor(下载)或PCHunter(下载)等对系统进程进行密切监视,基本上就可以发现可疑进程。如果是通过WMI劫持,可用微软的WMI Tool工具将恶意代码删除;通常驱动劫持最为隐蔽,通过驱动程序将DLL注入进程进行劫持,这类问题也可以通过PCHunter等类似的 软件将其捕获,进行终止并删除,或使用病毒木马查杀类软件进行扫描,多数问题可以解决。


如果你也有更加好的办法,欢迎分享出来


安装, 工具, 系统, 分享, 教程

1.发帖求助前要善用【论坛搜索】功能,那里可能会有你要找的答案;微笑

2.如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子标题加上【已解决】;微笑

3.如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】和【金币】加分不会扣除自己的积分,做一个热心并受欢迎的人!微笑
回复

使用道具 举报

返回列表 发帖
快速回复
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即加入

本版积分规则

返回列表

|999宝藏网|sitemap|手机版|举报|申请友情链接|  

免责声明:

拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论,本站内容均为会员发表,并不代表999宝藏网立场!

999宝藏网论坛所发布的一切破解软件和补丁、注册机以及注册信息,仅限用于学习和研究目的。不得将上述内容用于商业或者非法途径!否则,一切后果请用户自负!

我们不生产软件,我们只是互联网上的搬运工,本站信息来自互联网,版权争议与本站无关,如果您喜欢该程序,请购买注册正版软件,获得正版优质服务!

请重视此声明,法律不容忽视!请支持正版,尊重版权!本站如有信息侵犯了您的权益,请联系:www@rin99.com及时删除!

Powered by Discuz! © 2001-2024 Comsenz Inc. (豫ICP备2021033223号) 备案图标 豫公网安备41142602000006号

Copyright © 2016-2024 999宝藏网 版权所有 All Rights Reserved.

GMT+8, 2024-5-13 23:20 , Processed in 0.109728 second(s), 37 queries .

快速回复 返回顶部 返回列表