瀏覽器被劫持(hao123)&暴風啟用攜帶病毒瀏覽器劫持解決方法
瀏覽器被劫持解決方法
1、瀏覽器設定被篡改
這是早期方法了,稍微懂點電腦的都會,中招之後首先檢視瀏覽器設定。
如已被修改,將其修改為about:blank(空白頁)或者原先的首頁,應用後關閉瀏覽器後重新開啟瀏覽器看是否成功。
如首頁仍被篡改或者設定裡並沒被修改,請看第二步。
2、快捷方式被修改
右鍵點選瀏覽器快捷方式檢視屬性,如圖。
發現沒?在目標一欄後面加了hao123的網址了(李彥巨集,我有一句MMP不知道當講不當講),這是程式的執行引數,開啟都會傳入這行網址,刪除那行網址,重新開啟瀏覽器看恢復了沒有?還沒?請看第三步。
3、軟體設定
檢視你當前正在執行的軟體設定,是否有相關設定。某些免費軟體的作者迫於生計可能會在軟體設定裡將你的瀏覽器首頁鎖定成他的推廣頁面(這裡“免費”不加引號的原因是確實有些免費軟體很良心,這樣做也無可厚非,畢竟能給你關閉的選項就不錯了)。舉個例子,曾經我將火絨作為我的安全軟體,結果一直出現彈窗,查找了一圈,發現在火絨設定裡有這麼一項,當場臉一黑。。排查後看有無問題,如果還有,請看第四步。
4、登錄檔被修改
win+r開啟執行視窗輸入regedit,ctrl+f開啟搜尋視窗,搜尋那行推廣網址,刪除相關鍵值。如果沒有修改過登錄檔的,這步請謹慎進行,有可能系統會出問題。
關閉登錄檔,再開啟瀏覽器看下成功沒。還沒,再繼續看。
5、修改瀏覽器主程式名
右鍵瀏覽器快捷方式,點選開啟檔案所在的位置,定位到瀏覽器主程式。
將瀏覽器主程式名修改成任意其他名字,如f**k_lyh.exe等。再次開啟看看是否已經改回來了?
如果以上方法均無效,這一步應該能解決絕大部分情況。但是如果像我一樣可能無法忍受,總會有種如鯁在喉的感覺,不解決不舒服斯基,那麼繼續看,接下來的步驟需要一定的電腦常識。
6、WMI
某些流氓軟體劫持瀏覽器的原理是一段通過WMI發起的定時自動執行指令碼,這個指令碼會自動遍歷瀏覽器的快捷方式,並重新加上啟動引數。WMI(Windows Management Instrumentation)可以理解成Windows系統後臺執行的一個事件管理器。
檢視WMI事件需要安裝WMITool(管理員身份執行),安裝完畢後開啟WMI Event Viewer,
左上角點選鋼筆圖示,一路OK,
雙擊左欄EventFilter,出現如下(這張圖是網上找的,手頭沒有)
找到ScriptText,看到value裡面的值沒有,
裡面程式碼類似
On Error Resume Next Const link = "http://hao.169x.cn/?v=108" Const link360 = "http://hao.169x.cn/?v=108&s=3" browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe" lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UserschenxhDesktop,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UserschenxhAppDataRoamingMicrosoftWindowsStart MenuPrograms" 。。。。。
此處參考連結:解決hao123脅持chrome主頁問題
右鍵刪除之即可。
7、dll劫持
這種情況目前我還沒碰到過,不過大致解決方法可以通過下載process explorer(火絨軟體也可)檢視程序鉤子,這裡需要一定電腦知識判斷有無異常鉤子,刪除對應檔案就行。
8、安裝360系統急救箱,進入安全模式,斷網用360系統急救箱全盤深度掃描
終極方法--重灌(不建議)
如果實在忍受不了這個又找不到解決方案,那麼只有一個方法,重灌電腦(最好是官方純淨的系統)。網上經常有人建議重灌,這個是非常不負責任的做法,我不提倡,畢竟資料無價,重灌電腦後需要再設定的東西太多,浪費時間。
參考:https://www.zhihu.com/question/21883209
情況連結:https://www.52pojie.cn/thread-781946-1-1.html
暴風啟用攜帶病毒瀏覽器劫持解決方法:
edkaorun xpvvbb名字差不多是這樣的兩個核心病毒,
在C:\Users\17155\AppData\Local\Microsoft\WindowsApps資料夾下,
通過火絨查殺出來的,處理後重啟就解決了
分析發現,本次截獲到的麻辣香鍋病毒攻擊手法十分隱祕。為順利躲過系統檢測,它所釋放的所有病毒檔案均攜帶偽造的數字簽名。
該病毒的劫持流程為病毒作者設定了兩個惡意驅動,其中KMDF_LOOK.sys通過註冊minifilter,阻止瀏覽器程序載入安全模組,隨後程序建立回撥,在使用者啟動瀏覽器時通過增加命令列的方式劫持瀏覽器主頁。而KMDF_Protect.sys則如同一個守門人,拒絕病毒程序之外的所有請求,以保護病毒檔案;除此之外,還會註冊一個名為Windows Mobile User Experience Server的系統服務,用於病毒升級。
參考連結:
https://tieba.baidu.com/p/6547762816?qq-pf-to=pcqq.c2c
https://www.zhihu.com/question/21883209