火狐社区

标题: 浏览器快捷方式每隔一段时间被添加链接 [打印本页]
作者: xuyuehang    时间: 2016-10-31 18:01
标题: 浏览器快捷方式每隔一段时间被添加链接
本帖最后由 xuyuehang 于 2016-11-1 09:06 编辑

近期有部分用户反馈,浏览器主页被劫持,右键快捷方式,选择“属性”,发现快捷方式被添加链接。但删除链接后如果重启电脑或隔一段时间后链接又会被添加:



这种情况一般是电脑被添加了一个 WMI 计划任务,每隔一段时间或开机时自动加载,所以需要找到对应的任务删除。目前一些 haoxxx 的劫持(随机跳转至 hao123、搜狗网址导航等网站)多使用这种方法。

具体我们使用微软官方的 WMI event viewer 工具查看

下载地址:链接: https://pan.baidu.com/s/1hsBelu8 密码: 3edb

安装后进入到安装目录,找到应用程序,右键以管理员身份运行



点击左上角 register for events,弹出 Connect to namespace 框,执行默认操作一直点击 OK 进入下一界面:







左上角的对话框选择 filter、consumer、timer 三者任意一个就行,这三者本身就是统一的,点击展开,可以看到一个 VB 的任务:



如果点击左侧_EventFilter.Name="unown_filter",再至右侧右键点击 ActiveScriptEventConsume r Name="unown",选择 view instant properties,可以看到具体的脚本代码,这里由于各个劫持网站代码不一不进行赘述,如果复制到文本编辑器中,可以看到执行的操作,properties 中也有代码执行的周期:



接下来就是把那条更改主页的脚本删除了,在 _EventFilter.Name="VBScriptLKLive_filter" (具体任务名称可能会有不同)右键选择 delete instance(删除实例)

最后,手动将快速启动栏中各个浏览器快捷方式后面的链接删除(参考第一幅图)
作者: xuyuehang    时间: 2016-10-31 19:21
附件明天上传哈
作者: 风无迹_    时间: 2016-11-1 03:07
不错,了解了
作者: YOTERYE    时间: 2016-12-26 18:45
这个先标记,保不准哪天就中招了
作者: xperiayx    时间: 2017-1-29 11:49
选择 view instant properties后,我的WMI TOOL 弹出的是个对话框,不知道在哪看脚本代码
作者: xuyuehang    时间: 2017-1-31 18:36
本帖最后由 xuyuehang 于 2017-1-31 18:37 编辑
xperiayx 发表于 2017-1-29 11:49
选择 view instant properties后,我的WMI TOOL 弹出的是个对话框,不知道在哪看脚本代码
...

用文本编辑器打开那个文件
作者: 小天才    时间: 2017-2-9 14:15
我就是受害者哎  就是因为这个把谷歌都卸载了 安装了火狐  也还是一样
作者: 蝎子莱莱    时间: 2017-2-15 20:35
我的怎么回事...

QQ截图20170215203333.png (42.39 KB, 下载次数: 361)

QQ截图20170215203333.png
作者: xuyuehang    时间: 2017-2-16 10:15
蝎子莱莱 发表于 2017-2-15 20:35
我的怎么回事...

你的没有计划任务,考虑其他方式的劫持
作者: bxc11    时间: 2017-5-5 13:47
mark and good
作者: musclebb    时间: 2017-7-15 17:07
为什么我的打开是这样子的,我删掉之后,只有cancel,根本就删不掉

微信截图_20170715170642.png (57.87 KB, 下载次数: 98)

微信截图_20170715170642.png
作者: Geek Joe    时间: 2017-7-16 14:59
为了躲避流氓软件,我已经转战deepin Linux,三十六计走为上计
作者: xuyuehang    时间: 2017-7-17 16:12
musclebb 发表于 2017-7-15 17:07
为什么我的打开是这样子的,我删掉之后,只有cancel,根本就删不掉

你只要把整个脚本删除就可以吧,不需要删除脚本中的某条命令
作者: 商大瞎    时间: 2017-9-26 21:06
win10装不了软件
作者: 申城居士    时间: 2017-11-17 02:44
如何剔除其它设备的同步
作者: yinuo    时间: 2017-11-29 18:10
最后的实例无法删除怎么办显示拒绝访问
作者: yinuo    时间: 2017-11-29 18:10
显示我无法访问怎么办最后删除哪里
作者: yinuo    时间: 2017-11-29 18:11
xuyuehang 发表于 2017-7-17 16:12
你只要把整个脚本删除就可以吧,不需要删除脚本中的某条命令

我是在删除的时候提示拒绝访问
作者: xuyuehang    时间: 2017-11-30 10:03
yinuo 发表于 2017-11-29 18:11
我是在删除的时候提示拒绝访问

电脑进入安全模式试一下
作者: 卡巴迷    时间: 2017-12-27 12:10
我的到了这里发现了,不知怎么弄?

20171227115824.png (49.47 KB, 下载次数: 114)

20171227115824.png
作者: 青石·决意    时间: 2017-12-31 21:38
我的没有网址怎么办

捕获.PNG (37.65 KB, 下载次数: 168)

我的是这个样子没有网址脚本,接下来应该怎么做

我的是这个样子没有网址脚本,接下来应该怎么做
作者: 青石·决意    时间: 2017-12-31 21:50
xuyuehang 发表于 2017-2-16 10:15
你的没有计划任务,考虑其他方式的劫持

我的也是这样,其他方式的劫持能详述一下吗
作者: 保持丶淡定    时间: 2018-1-16 15:11
xuyuehang 发表于 2017-7-17 16:12
你只要把整个脚本删除就可以吧,不需要删除脚本中的某条命令

我也是这样啊,怎么删除整个脚本啊
作者: 聪哥970    时间: 2018-3-2 09:57
终于找到火狐快捷方式篡改的脚本了,怪不得老是跳到http://hao.169x.cn/然后重定向到hao123推广链接。
作者: 聪哥970    时间: 2018-3-3 13:17
删不了的可以用这个,这脚本估计是小马激活工具搞得
https://www.cnblogs.com/szhx/p/5296822.html
作者: 聪哥970    时间: 2018-5-28 10:48
以前用这个方法删掉了脚本,过段时间重启电脑又被修改,又查不到脚本,估计还有其他手段篡改,只能用重定向的插件对付。
作者: 嗷呜~    时间: 2018-8-18 16:24
xuyuehang 发表于 2017-1-31 18:36
用文本编辑器打开那个文件

请问怎么用文本编辑器打开啊,没有这个选项啊
作者: xuyuehang    时间: 2018-8-20 14:35
嗷呜~ 发表于 2018-8-18 16:24
请问怎么用文本编辑器打开啊,没有这个选项啊

不用打开,如果有直接删除即可



欢迎光临 火狐社区 (http://mozilla.com.cn/) Powered by Discuz! X3.1