浏览器快捷方式每隔一段时间被添加链接

近期有部分用户反馈，浏览器主页被劫持，右键快捷方式，选择“属性”，发现快捷方式被添加链接。但删除链接后如果重启电脑或隔一段时间后链接又会被添加：



这种情况一般是电脑被添加了一个 WMI 计划任务，每隔一段时间或开机时自动加载，所以需要找到对应的任务删除。目前一些 haoxxx 的劫持（随机跳转至 hao123、搜狗网址导航等网站）多使用这种方法。

具体我们使用微软官方的 WMI event viewer 工具查看

下载地址：链接: https://pan.baidu.com/s/1hsBelu8 密码: 3edb

安装后进入到安装目录，找到应用程序，右键以管理员身份运行



点击左上角 register for events，弹出 Connect to namespace 框，执行默认操作一直点击 OK 进入下一界面：







左上角的对话框选择 filter、consumer、timer 三者任意一个就行，这三者本身就是统一的，点击展开，可以看到一个 VB 的任务：



如果点击左侧_EventFilter.Name="unown_filter"，再至右侧右键点击 ActiveScriptEventConsume r Name="unown"，选择 view instant properties，可以看到具体的脚本代码，这里由于各个劫持网站代码不一不进行赘述，如果复制到文本编辑器中，可以看到执行的操作，properties 中也有代码执行的周期：



接下来就是把那条更改主页的脚本删除了，在 _EventFilter.Name="VBScriptLKLive_filter" （具体任务名称可能会有不同）右键选择 delete instance（删除实例）

最后，手动将快速启动栏中各个浏览器快捷方式后面的链接删除（参考第一幅图）

附件明天上传哈

xperiayx 发表于 2017-1-29 11:49
选择 view instant properties后，我的WMI TOOL 弹出的是个对话框，不知道在哪看脚本代码
...

用文本编辑器打开那个文件

蝎子莱莱 发表于 2017-2-15 20:35
我的怎么回事...

你的没有计划任务，考虑其他方式的劫持

musclebb 发表于 2017-7-15 17:07
为什么我的打开是这样子的，我删掉之后，只有cancel，根本就删不掉

你只要把整个脚本删除就可以吧，不需要删除脚本中的某条命令

yinuo 发表于 2017-11-29 18:11
我是在删除的时候提示拒绝访问

电脑进入安全模式试一下

嗷呜～ 发表于 2018-8-18 16:24
请问怎么用文本编辑器打开啊，没有这个选项啊

不用打开，如果有直接删除即可