俗话说:常在河边走,哪有不湿鞋。经常上网,难免遇到浏览器首页被恶意篡改。每次打开浏览器,强行转到hao123,hao549之类的网站,无论怎么改主页设置,都无济于事。
最近,民工君接到一例浏览器快捷方式被强行篡改的求助。多个浏览器,IE、Chrome、Firefox、Safari,均被篡改,手段够绝的。快捷方式的属性如下图所示:
红框所示即是hao549.com的网址
原以为把http开头的那一串网址删除就可以了
怎料过了一会,删除的网址又被加了回来。
根据以往亲身经验,通常此类问题靠杀毒软件查杀、搜查启动项、系统服务和注册表等传统方法,浪费时间且效果甚微,因为这些是多年以前的老伎俩了。道高一尺、魔高一丈,坏人们也在换用新的招数。
那么,如何解决呢?请往下看:
1. 下载并安装wmi tools. 链接:https://pan.baidu.com/s/1mi7pkqG
注:WMI tool是微软提供的一款免费工具。若链接失效,请联系民工君索要。
2. 以管理员身份运行wbemeventviewer.exe (右键 > 以管理员身份运行。注意一定是管理员身份,否则后面会操作失败)
3. 点左上角那个钢笔图标,连接到 rootCIMV2,点确定后出现下图:
4. 在左侧_EventFilter下面可以看到_EventFilter.Name="VBScriptLKLive_Filter". 而右侧则是这个Filter的详细信息。
5. 在右侧处单击右键,选择view instance properties,可以看到这个vbscript的具体内容。
现在真相大白了吧,这个脚本是通过每隔一段时间,修改所有浏览器的快捷方式来达到它的险恶目的的!
6. 关闭属性窗口,在event filter右侧单击右键,选择unregister,再从左侧点右键,删除这个event filter VBScriptLKLive_Filter"
7. 确认成功后退出。
