lss233 2 min read
移除浏览器劫持脚本

昨天新装好的系统不小心执行了一些来源不明的程序,结果重启之后发现浏览器出问题了,无论打开什么浏览器,都会自动访问hao123网址导航,但自己浏览器设置的主页却不是这个。
嗯,这一看就是被劫持了嘛。我发现基本上所有浏览器快捷方式后面都加上了这个参数:
http://hao916.com/?r=xlrnmdebjmxx&m=d5
真是不要脸的东西,原以为把这个参数删除就是了,但事实证明没有这么简单,重启之后它们又回来了。
于是参考了 中招了——WMI脚本劫持浏览器 - 知乎专栏 这篇文章,找到了解决方法。

移除脚本

WMI脚本是个藏后门的好东西,基本上很少有机会能想到它。
根据文章里的解释,需要先下载一个 WMI Tools
这好像是一个比较小众的软件,可以在这里下载

下载安装后,右键WMI Event Viewer -> 以管理员身份运行
点击窗口左上方的按钮,弹出Connect to namespace窗口,直接点击OK
如果没有问题的话,你应该能看见仅有的那个**__EventFilter.Name="VBScript...**
没错,就是它了。右键,选择 Delete ... 那个选项把它删除就好了。

还没有结束

这段脚本对你系统的多处都进行了修改,你需要手动访问这几个路径,把里面的浏览器快捷方式后的参数移除:

C:\Users\Public\Desktop
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
C:\Users\你的用户名\Desktop
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs