浏览器主页被WMI劫持的处理方法

弡 *发表于 2018-04-27 15:11:16* · 发表于 2018-04-27 15:11:16

虽然这是很多年就有人开始这么纂改了，但是现在还有很多垃圾软件这么干，很多人大概不知道纂改处理方法，安装软件莫名其妙被注入了主页修改的确是比较恶心的.

点击桌面、任务栏、开始菜单栏中的浏览器（多种浏览器，如iexplore、firefox、liebao、maxthon、360等）的快捷方式，发现主页被改成hao549/hao123。
发现浏览器属性的目标后面有一串网址，删掉后主页正常，一段时间又出现hao123网页。
删除这些快捷方式以后建立新的快捷方式，主页打开仍然是hao123、hao549这类的网址。
搜寻注册表，发现主页并未被网址篡改

解决方法：使用wmi tool工具，删除劫持的wmi脚本
安装微软的wmi tool工具自行搜索下载，或者下方提供一个.

安装完是没有快捷方式的，手动打开位置：C:\Program Files (x86)\WMI Tools\wbemeventviewer.exe
点击程序窗口左上角的“register for events”（钢笔样图标）

图片1.jpg

弹出Connect to namespace框，填入“root\CIMV2”，并确定

图片2.jpg

以当前用户身份（管理员）登录，默认可能是灰色不可以填写，不管它，ok确定

图片3.jpg

在WMI 事件注册编辑器窗口中展开项目_EventFilter，出现：
_EventFilter:Name=“VBScriptLKLive_filter"

图片4.jpg

在右侧窗口选中这个脚本文件，并点击右上角图标查看脚本详细信息

图片5.jpg

找到ScriptText这一行，查看第三列值中的内容

图片6.jpg

将内容粘贴到文本中，可以看出浏览器属性中出现的网址！并且列出了可被劫持的数十种浏览器名称

图片7.jpg

返回WMI 事件注册编辑器窗口，现在要做的是删除这个脚本：在_EventFilter:Name=“VBScriptLKLive_filter”项目上右键弹出菜单中选择“Delete instance”即可删除这个流氓脚本。

图片8.jpg

最后一步，重新新建IE快捷方式，世界又恢复清净了！！

wmi tool下载-网盘链接: https://pan.baidu.com/s/1QZfnmR-irbuOHkHE-Y2prw 密码: 3frz

*sydbdhd* *发表于 2018-07-26 14:27:45* · 发表于 2018-07-26 14:27:45

以前用过很多方法，这是我见过的最厉害的

*sunboy* *发表于 2018-05-01 16:22:54* · 发表于 2018-05-01 16:22:54

提示: 该帖被管理员或版主屏蔽

*anway* *发表于 2018-05-01 15:29:12* · 发表于 2018-05-01 15:29:12

銠鹰发表于 2018/4/29 08:02
有个桔梗的网页，就是被它劫持了主页，不知都有谁也中招了。

这个我中过，实在忍不了，重装了事！
不知用老大这个是否有用？

*wwncns* *发表于 2018-04-29 18:00:11* · 发表于 2018-04-29 18:00:11

老大水平就是高，下载试用，谢谢了。

*fylswb* *发表于 2018-04-29 17:04:45* · 发表于 2018-04-29 17:04:45

非常实用的工具,谢谢老大

*xblz1234* *发表于 2018-04-29 13:17:06* · 发表于 2018-04-29 13:17:06

感谢老大分享，非常实用的工具。。。

*wangsql* *发表于 2018-04-29 11:37:17* · 发表于 2018-04-29 11:37:17

下来看看真给力

*lzhr871* *发表于 2018-04-29 10:20:32* · 发表于 2018-04-29 10:20:32

谢谢分享！辛苦了！

*曾经沧海* *发表于 2018-04-28 06:11:24* · 发表于 2018-04-28 06:11:24

非常感谢老大提供的分享！很有用的软件！