201610222207瀏覽器首頁被綁架 - 復原雜記

瀏覽器首頁以「篡改瀏覽器捷徑方式」被綁架 - 復原雜記

雜記內容擷取自網際網路,略加整理,以恢復瀏覽器首頁為主要目標,理論、原理、....皆略。

以被 hao123 綁架,「捷徑目標」被改為 http://so.wnoyng.cn/?r=x 為例。

如果發現打開「所有」瀏覽器時,都會跳轉到 http://so.wnoyng.cn/?r=x ....;
不是簡單地修改登錄檔,而是,不定時地,以修改「開始功能表」上的瀏覽器捷徑中「目標」欄內容 的方式,添加連結。
瀏覽器首頁以「篡改瀏覽器捷徑方式」被綁架 01 Google Chrome.lnk.jpg - Blog Photos
此類惡意修改,應該是一個,通過WMI發起的定時自動運行腳本;透過檢視 WMI 事件,可發現奇怪的程序…。
要查看WMI事件,可參考以下位址,下載 WMI Tools (WMI Administrative Tools) V1.50.1131官方版,並安裝。
http://www.microsoft.com/en-us/download/details.aspx?id=24045
- (…連結已失效…Sorry!...只想說這是微軟的程式…)

http://download.cnet.com/WMI-Administrative-Tools/3000-2383_4-75452613.html
- ( 發文日 連結尚存… )

安裝後打開WMI Event Viewer ( 請以系統管理員身分執行 ),點擊左上角 Register for Events,
瀏覽器首頁以「篡改瀏覽器捷徑方式」被綁架 02 WMI Event Viewer.jpg - Blog Photos
彈出 Connect to namespace 框,填入“ root\CIMV2 ”,
瀏覽器首頁以「篡改瀏覽器捷徑方式」被綁架 03 Connect to namespace.jpg - Blog Photos
彈出 WMI Event Registration Login 框,點選 OK。
瀏覽器首頁以「篡改瀏覽器捷徑方式」被綁架 04 WMI Event Registration Login.jpg - Blog Photos
出現下圖:WMI Event Registration Editor
瀏覽器首頁以「篡改瀏覽器捷徑方式」被綁架 05 WMI Event Registration Editor.jpg - Blog Photos 
這個叫“VBScriptKids_consumer”的腳本,就是我們要找的流氓,點擊右鍵,刪除,應該就能解決了?!…

PS:如提示 ” …無法刪除…”,請確認是否以系統管理員身分執行;
      或者,可以前往 WMI Tool 安裝目錄 ( 例如:C:\Program Files (x86)\WMI Tools\ ) 下,右鍵點擊wbemeventviewer.exe,選擇以系統管理員身分執行!

還沒完,還要手動將開始功能表中,將「各個」瀏覽器捷徑的「目標」欄中的「http://so.wnoyng.cn/?r=x」去掉! ( 桌面、工作列… 如有需要,也需修改… )
受到影響的瀏覽器可能有:(差不多齊了!)
"IEXPLORE.EXE", "chrome.exe", "firefox.exe", "360chrome.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe"

以Windows 10 為例,IE與Google Chrome 的 開始功能表中的 捷徑 路徑,可參考下列:(其他的...?我沒使用...找一找吧!)
( \AppData\... 及\ProgramData\... 的路徑,被系統預設為隱藏模式,需先解除隱藏後,才看得到... ) 
( 注意:如發生無法變更的情況,請檢查 *.lnk 是否被設定成 唯讀 屬性,如是 請先取消唯讀。 )

c:\Users\使用者帳戶\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk
c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk

 







回應

我並不是每次吃完飯就看電視,有時我邊吃邊看電視,生活中有些改變會增加樂趣。

關鍵字
[此功能已終止服務]
    沒有新回應!





Powered by Xuite