今天研究(翻,牆),裝了幾個插件,什么雲帆、外遇、藍燈
后來我的google瀏覽器被hao123劫持,百度瀏覽器被hao524劫持
刪除瀏覽器快捷方式、屬性目標里的后綴,過不多久又被劫持,把我搞毛了
弄了一晚上,發現是wmi腳本被篡改,寫入了惡意代碼
解決辦法:
1、修改快捷方式、在快捷方式上右擊屬性對話框手工刪除網址的部分
2、加載了啟動項的,在注冊表、啟動項、服務中搜索相關網址信息,找到后刪除
3、使用wmitools工具刪除wmi惡意代碼
wmitools下載地址:https://pan.baidu.com/s/1bo7GQvH
修改步驟如下:
① 安裝wmitools后,進入安裝路徑,右鍵管理員運行wbemeventviewer.exe
②單擊左上角的鋼筆符號
③彈出對話框內容默認為:root\CIMV2 ,點擊ok按鈕
④接下來彈出的對話框再次點擊ok按鈕:
⑤窗口中出現_EventFilter,操作如下:
⑥惡意代碼在下面的ScriptText里,我復制到notepad++里,如下:
將上面代碼復制到notepad++,如下:
⑦ 按如下操作,刪除之:
⑧完成,關閉工具。
注意:經排查,此問題是由於安裝了藍燈(翻,牆)插件,大家小心了!