1                 、前言

今天打开chrome浏览器                 ，莫名转到hao123网页 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
，试了几次后
















，依旧如此 
  
  
  
  
  
  
  
  。这时候我意识到可能自己的浏览器被劫持了
  
  
  
  
  
  
  
  
 。

原因：

可能安装到捆绑软件 
  
  
  
  
  
  
  
  ，其会修改浏览器快捷方式目标的内容
 


 


 


 


 


 


 


 


。 DNS劫持 
 
 
 
 
 
 
 
 。 系统资源WMI脚本被篡改
   
   
   
   
   
   
   
   
 。

原理：

我们打开浏览器 
  
  
  
  
  
  
  
  
，其实就是访问目标的内容

 


 


 


 


 


 


 


 

，相当于运行其命令行内容
 

 

 

 

 

 

 

 

。

解决办法：

删除目标后面无关内容或修改浏览器初始化加载页面 针对DNS劫持 
 
 
 
 
 
 
 
 ，重名别名 针对scrcons.exe 
   
   
   
   
   
   
   
   
，系统软件
 

 

 

 

 

 

 

 
，删除该例子

2 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
、解决方案

2.1
















、方案一：删除目标内容

我们在chrome浏览器
 

 

 

 

 

 

 

 

 ，输入 chrome://version/                 ，我们会发现命令行处 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 
，最后面就是捆绑网页链接
















，即我们每次打开浏览器                         ，都会默认来到该网页

解决步骤：

1 
  
  
  
  
  
  
  
  、来到桌面 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，鼠标右键浏览器
























，点击属性

2 
  
  
  
  
  
  
  
  
、点击快捷方式                 ，目标 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
，将目标捆绑网页内容删除即可 

 

 

 

 

 

 

 

 。

正常浏览器目标内容应为： “C:\Program Files\Google\Chrome\Application\chrome.exe 
  
  
  
  
  
  
  
  ”

2.2

 


 


 


 


 


 


 


 

、方案二：修改浏览器启动时内容

1 
 
 
 
 
 
 
 
 、打开浏览器
















，点击三个点 
  
  
  
  
  
  
  
  ，设置

2 
   
   
   
   
   
   
   
   
、点击启动时 
  
  
  
  
  
  
  
  
，保存打开新页面或者根据自己需要设置打开指定页面                 。

2.3
 

 

 

 

 

 

 

 
、方案三：重命名

1
 

 

 

 

 

 

 

 

 、首先找到浏览器所在位置

 


 


 


 


 


 


 


 

，右击桌面上的浏览器 
 
 
 
 
 
 
 
 ，打开文件所在位置

2                、将桌面的浏览器删除

3 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 
、将步骤1的浏览器发送到桌面 
   
   
   
   
   
   
   
   
，并重命名为别的名字
 

 

 

 

 

 

 

 
，如命名为chrome11.exe

2.4
















、方案四：修改WMI脚本

原因：scrcons.exe的进程创建了浏览器的快捷方式
 

 

 

 

 

 

 

 

 ，而且根据生成时间的提示                ，该进程每隔1个小时就会再次执行创建操作 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 
，正是“scrcons.exe
  
  
  
  
  
  
  
  
 ”进程的存在才导致快捷方式不断地复活
















，所以会导致前面三个方案都无效！

1                         、下载WMI软件（百度网盘）

https://pan.baidu.com/s/18PBt_CfYGP_pKyviDLwL3A?pwd=afsp

2 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
、安装后打开wbemeventviewer.exe                         ，点击左上角 register for events 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，弹出Connect to namespace框
























，填入“root\CIMV2
 


 


 


 


 


 


 


 


”                 ，确定

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

。不需要填写用户名密码 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
，直接点ok即可















。 3
























、我们可以查看VBScniptLKKids_filter 的ActiveScriptEventConsumer内容
















，右键 View instance properties

4                 、我们查看Script Text的value内容 
  
  
  
  
  
  
  
  ，复制value内容到记事本更加容易看出                          。

我们发现被http://hao642.com/?r=wwwww&m=c101内容篡改了
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
。

5 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
、回到wbemeventviewer.exe 
  
  
  
  
  
  
  
  
，删掉VBScniptLKKids_filter 至此问题得到顺利地解决
























。

WMI：拒绝访问

1
















、运行

 


 


 


 


 


 


 


 

，WMImgmt.msc 2 
  
  
  
  
  
  
  
  、WMI属性 
 
 
 
 
 
 
 
 ，安全 
   
   
   
   
   
   
   
   
，找到CIMV2,点击安全设置 3 
  
  
  
  
  
  
  
  
、确保Authenticated Users                 。在下面的权限中确保 执行方法

 


 


 


 


 


 


 


 

、提供程序写入 
 
 
 
 
 
 
 
 、启用账户和远程启用 是选中状态
  
 
  
 
  
 
  
 
  
 
  
 
  
 
  
 
 。

4 
   
   
   
   
   
   
   
   
、重启电脑
 

 

 

 

 

 

 

 
，再回到方案四步骤5
 

 

 

 

 

 

 

 

 ，删除VBScniptLKKids_filter实例

5
 

 

 

 

 

 

 

 
、最后删除你电脑上所有浏览器所绑定流氓网页链接（参考方案一）

2.5
 

 

 

 

 

 

 

 

 、方案五：火绒修复

1                、下载火绒                ，安全工具里面有个系统修复

2 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 
、系统修复 

 
 

 
 

 
 

 
 

 
 

 
 

 
 

 
 
，立即修复

我们可以看到几乎所有的浏览器都被篡改了
















，不得不佩服这流氓网页
















。

3
















、总结

其实被页面篡改无非就是捆绑页面而已                         ，知道一些原理对症下药会更加快 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
，但是如果是被DNS劫持的话
























，还需要一些功夫去慢慢研究

参考文章：关于被hao123                         、2345 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
、360等主页劫持和捆绑的解决方法