浏览器快捷方式每隔一段时间被添加链接

gray

本帖最后由 xuyuehang 于 2016-11-1 09:06 编辑

近期有部分用户反馈，浏览器主页被劫持，右键快捷方式，选择“属性”，发现快捷方式被添加链接。但删除链接后如果重启电脑或隔一段时间后链接又会被添加：

这种情况一般是电脑被添加了一个 WMI 计划任务，每隔一段时间或开机时自动加载，所以需要找到对应的任务删除。目前一些 haoxxx 的劫持（随机跳转至 hao123、搜狗网址导航等网站）多使用这种方法。

具体我们使用微软官方的 WMI event viewer 工具查看

下载地址：链接: https://pan.baidu.com/s/1hsBelu8 密码: 3edb

安装后进入到安装目录，找到应用程序，右键以管理员身份运行

点击左上角 register for events，弹出 Connect to namespace 框，执行默认操作一直点击 OK 进入下一界面：

左上角的对话框选择 filter、consumer、timer 三者任意一个就行，这三者本身就是统一的，点击展开，可以看到一个 VB 的任务：

如果点击左侧_EventFilter.Name="unown_filter"，再至右侧右键点击 ActiveScriptEventConsume r Name="unown"，选择 view instant properties，可以看到具体的脚本代码，这里由于各个劫持网站代码不一不进行赘述，如果复制到文本编辑器中，可以看到执行的操作，properties 中也有代码执行的周期：

接下来就是把那条更改主页的脚本删除了，在 _EventFilter.Name="VBScriptLKLive_filter" （具体任务名称可能会有不同）右键选择 delete instance（删除实例）

最后，手动将快速启动栏中各个浏览器快捷方式后面的链接删除（参考第一幅图）

xuyuehang · 发表于 2016-10-31 19:21:47

附件明天上传哈

风无迹_ · 发表于 2016-11-1 03:07:33

不错，了解了

YOTERYE · 发表于 2016-12-26 18:45:55

这个先标记，保不准哪天就中招了

xperiayx · 发表于 2017-1-29 11:49:54

选择 view instant properties后，我的WMI TOOL 弹出的是个对话框，不知道在哪看脚本代码

xuyuehang · 发表于 2017-1-31 18:36:25

本帖最后由 xuyuehang 于 2017-1-31 18:37 编辑

xperiayx 发表于 2017-1-29 11:49
选择 view instant properties后，我的WMI TOOL 弹出的是个对话框，不知道在哪看脚本代码
...

用文本编辑器打开那个文件

小天才 · 发表于 2017-2-9 14:15:34

我就是受害者哎就是因为这个把谷歌都卸载了安装了火狐也还是一样

蝎子莱莱 · 发表于 2017-2-15 20:35:18

我的怎么回事...

xuyuehang · 发表于 2017-2-16 10:15:19

蝎子莱莱发表于 2017-2-15 20:35
我的怎么回事...

你的没有计划任务，考虑其他方式的劫持

bxc11 · 发表于 2017-5-5 13:47:20

mark and good

[FAQ] 浏览器快捷方式每隔一段时间被添加链接

评分