最近单位和家里的各版本浏览器主页都被hao123这个流氓劫持。百度了一圈,终于搞定,赶紧记录一下。
现在流氓很努力,hao123给电脑添加了一个 WMI 计划任务,每隔一段时间或开机时自动加载,所以需要找到对应的任务删除。
首先需要下载微软官方的 WMI event viewer 工具查看
链接: https://pan.baidu.com/s/1hsBelu8 密码: 3edb
左上角的对话框选择 filter、consumer、timer 三者任意一个就行,这三者本身就是统一的,点击展开,可以看到一个 VB 的任务:
<ignore_js_op>
如果点击左侧_EventFilter.Name="unown_filter",再至右侧右键点击 ActiveScriptEventConsume r Name="unown",选择 view instant properties,可以看到具体的脚本代码,这里由于各个劫持网站代码不一不进行赘述,如果复制到文本编辑器中,可以看到执行的操作,properties 中也有代码执行的周期:
接下来就是把那条更改主页的脚本删除了,在 _EventFilter.Name="VBScriptLKLive_filter"(具体任务名称可能会有不同)右键选择 delete instance(删除实例)
WMI拒绝访问,无法删除
在【运行】中输入compmgmt.msc 本地用户和组->用户,然后再自己使用的用户上右键。
在弹出的 属性窗口中,选择 隶属于 选项卡,单击 添加。
输入 Distributed COM Users,点击 检查名称。出现格式为 主机名/Distributed COM Users的字符串,如下图。点击 确定。
如果输入上述字符比较麻烦,可点击 高级。
点击高级后,在弹出的窗口中点击 立即查找,在搜索结果中选择 Distributed COM Users,确定即可。
经上述操作后,显示如下窗口,点击 确定。
开始 菜单的搜索栏输入 WMImgmt.msc 进入WMImgmt控制台。
进入WMImgmt控制台后,在 WMI控件(本地) 单击 右键,选择 属性。
在 WMI控件(本地)属性 的 安全 选项卡中,选择 CIMV2,点击 安全设置。
在弹出的 安全设置 ROOTCIMV2 中,选择 Authenticated Users。在下面的权限中确保 执行方法、提供程序写入、启用账户和远程启用 是选中状态。
至此,可以用普通账户通过WMIC远程管理服务器了。
最后重启电脑
更改各浏览器快捷方式的目标设置
在 C:Users用户名AppDataRoamingMicrosoftInternet ExplorerQuick Launch中可以找到各浏览器快捷方式
在C:Users用户名AppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar 中可找到任务栏快捷方式
更改各快捷方式的目标,删除流氓网址
参考https://jingyan.baidu.com/article/db55b609f2be764ba20a2f60.html
https://jingyan.baidu.com/article/db55b609f2be764ba20a2f60.html