最近單位和家里的各版本瀏覽器主頁都被hao123這個流氓劫持。百度了一圈,終於搞定,趕緊記錄一下。
現在流氓很努力,hao123給電腦添加了一個 WMI 計划任務,每隔一段時間或開機時自動加載,所以需要找到對應的任務刪除。
首先需要下載微軟官方的 WMI event viewer 工具查看
鏈接: https://pan.baidu.com/s/1hsBelu8 密碼: 3edb
左上角的對話框選擇 filter、consumer、timer 三者任意一個就行,這三者本身就是統一的,點擊展開,可以看到一個 VB 的任務:
<ignore_js_op>
如果點擊左側_EventFilter.Name="unown_filter",再至右側右鍵點擊 ActiveScriptEventConsume r Name="unown",選擇 view instant properties,可以看到具體的腳本代碼,這里由於各個劫持網站代碼不一不進行贅述,如果復制到文本編輯器中,可以看到執行的操作,properties 中也有代碼執行的周期:
接下來就是把那條更改主頁的腳本刪除了,在 _EventFilter.Name="VBScriptLKLive_filter"(具體任務名稱可能會有不同)右鍵選擇 delete instance(刪除實例)
WMI拒絕訪問,無法刪除
在【運行】中輸入compmgmt.msc 本地用戶和組->用戶,然后再自己使用的用戶上右鍵。
在彈出的 屬性窗口中,選擇 隸屬於 選項卡,單擊 添加。
輸入 Distributed COM Users,點擊 檢查名稱。出現格式為 主機名/Distributed COM Users的字符串,如下圖。點擊 確定。
如果輸入上述字符比較麻煩,可點擊 高級。
點擊高級后,在彈出的窗口中點擊 立即查找,在搜索結果中選擇 Distributed COM Users,確定即可。
經上述操作后,顯示如下窗口,點擊 確定。
開始 菜單的搜索欄輸入 WMImgmt.msc 進入WMImgmt控制台。
進入WMImgmt控制台后,在 WMI控件(本地) 單擊 右鍵,選擇 屬性。
在 WMI控件(本地)屬性 的 安全 選項卡中,選擇 CIMV2,點擊 安全設置。
在彈出的 安全設置 ROOT\CIMV2 中,選擇 Authenticated Users。在下面的權限中確保 執行方法、提供程序寫入、啟用賬戶和遠程啟用 是選中狀態。
至此,可以用普通賬戶通過WMIC遠程管理服務器了。
最后重啟電腦
更改各瀏覽器快捷方式的目標設置
在 C:\Users\用戶名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch中可以找到各瀏覽器快捷方式
在C:\Users用戶名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar 中可找到任務欄快捷方式
更改各快捷方式的目標,刪除流氓網址
參考https://jingyan.baidu.com/article/db55b609f2be764ba20a2f60.html
https://jingyan.baidu.com/article/db55b609f2be764ba20a2f60.html