免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

感謝 ArlenLuo的投遞

最近重裝了一次電腦。盡管什么百度系的軟件我都沒有下載，Chrome瀏覽器的主頁還是被硬生生劫持了。每次點(diǎn)開后的主頁是hao.qquu8.com這個(gè)鏈接，緊接著它會跳向hao123。電腦上原裝的其他瀏覽器（IE和Edge）也是這樣，弄得每次打開瀏覽器就被惡心一下，很是惱火。

我們先來看看問題在哪。右鍵快捷方式查看屬性：

哦，原來快捷方式被改了，后面加了一段url。把它刪了試試？

還是不行，幾分鐘后還是被改回來了。

我在很多平臺上找了解決辦法。有的試了沒有效果，重新開機(jī)后還是一樣的毛病，有的推薦裝“管家”，但這種以毒攻毒的辦法無異于飲鴆止渴。最后終于有一種靠譜的方法，經(jīng)過實(shí)驗(yàn)和一點(diǎn)修改，完美解決！

主頁被劫持的原理是一段通過WMI發(fā)起的定時(shí)自動運(yùn)行腳本，WMI（Windows Management Instrumentation）可以理解成Windows系統(tǒng)后臺運(yùn)行的一個(gè)事件管理器。為查看WMI事件，先去下載WMITools并安裝：WMI工具。

之后打開WMI Event Viewer：

點(diǎn)擊左上角的筆的圖標(biāo)（Register For Events），在彈出的Connect to namespace的框直接點(diǎn)OK，Login的頁面也直接點(diǎn)OK。點(diǎn)開左側(cè)欄的EventFilter，再點(diǎn)擊下級目錄的項(xiàng)目：

在右側(cè)欄右鍵點(diǎn)擊ActiveScriptEventConsumer，并通過view instant properties查看屬性：

在Script Text那一欄我們可以看到這段腳本：

終于抓到了幕后黑手?？梢钥吹竭@是一段VBScript代碼，攻擊目標(biāo)涵蓋了包括Chrome、360、Firefox、搜狗等30余種常見的瀏覽器。腳本以瀏覽器的安裝地址為切入點(diǎn)，創(chuàng)建WshShell對象，進(jìn)而生成植入了流氓網(wǎng)站的快捷方式。360瀏覽器有限定主頁格式，于是這段腳本還特地修飾了流氓網(wǎng)站的鏈接。唉，流氓至此，也是服了。

查到了源頭如何清清除這段造孽的腳本呢？直接在WMI Event Viewer中將_EventFilter.Name=”VBScriptKids_filter”右鍵刪掉會被系統(tǒng)拒絕掉，需要去WMI Event Viewer的安裝位置，右鍵以管理員方式運(yùn)行exe文件才能刪掉。之后還要把各個(gè)快捷方式都改回不帶流氓網(wǎng)站的版本，包括桌面上的、開始菜單里的以及快速訪問欄里的快捷方式，其中開始菜單里的快捷方式要去C:\ProgramData\Microsoft\Windows\Start Menu\Programs里改掉。唉，一趟下來真是讓人心累，好在最終瀏覽器擺脫了流氓網(wǎng)站的劫持：