俗话说:常在河边走,哪有不湿鞋。经常上网,难免遇到浏览器首页被恶意劫持。每次打开浏览器,强制转到hao123,hao549之类的网站,无论怎么改主页设置,都无济于事。 最近,民工君接到一例Chrome浏览器快捷方式被强行篡改的求助。多个浏览器,IE、Chrome、Firefox、Safari,均被篡改,手段够绝的。快捷方式的属性如下图所示: 红框所示即是hao549.com的网址 原以为把http开头的那一串网址删除就可以了 怎料过了一会,删除的网址又被加了回来。 根据以往亲身经验,通常此类问题靠杀毒软件、检索启动项、系统服务和注册表是浪费时间且效果甚微的,因为这些是多年以前的老伎俩了。道高一尺、魔高一丈,坏人们也在换用新的招数。 那么,如何解决呢?请往下看: 1. 下载并安装wmi tools. 2. 以管理员身份运行wbemeventviewer.exe (右键 > 以管理员身份运行。注意一定是管理员身份,否则后面会操作失败) 3. 点左上角那个钢笔图标,连接到 root\CIMV2,点确定后出现下图: 4. 在左侧_EventFilter下面可以看到_EventFilter.Name='VBScriptLKLive_Filter'. 而右侧则是这个Filter的详细信息。 5. 在右侧处单击右键,选择view instance properties,可以看到这个vbscript的具体内容。 现在真相大白了吧,这个脚本是通过每隔一段时间,修改所有浏览器的快捷方式来达到它的险恶目的的! 6. 关闭属性窗口,在event filter右侧单击右键,选择unregister,再从左侧点右键,删除这个event filter VBScriptLKLive_Filter' 7. 确认成功后退出。
|
|