浏览器首页被篡改几经波折?来套组合拳一波带走!

网络上对于浏览器被篡改的教程多不胜数,往往这些教程都是治标不治本,笔者通过整合这些内容之后发现一种新的防治浏览器被篡改的方法,如果你苦于浏览器被各种主页网站篡改而几经波折,不妨试试本文的方法 。

浏览器首页被篡改几经波折?来套组合拳一波带走!

文章插图
这几年的网络环境和之前是完全不同的,之前篡改浏览器首页,大都只是为了简单宣传一下,扩大一些知名度 。而现在的做这些事情的目的就只有一样,就是为了给自己带来用户流量,所以方式多种多样,有些方式甚至比病毒木马还要难缠 。小编就针对各种各样的情况一一解决,绝对不要心慈手软!
浏览器首页被篡改几经波折?来套组合拳一波带走!

文章插图
1、首先,大家先用最常规的方式修复被篡改的浏览器首页,第三方安全工具、手动更改浏览器主页地址,若用这样的方式,浏览器还是反复被篡改回来,那就用下面的方法试试看!
【浏览器首页被篡改几经波折?来套组合拳一波带走!】2、咱们需要找到浏览器的安装地址,如果出现了下图示例的样子,那就证明是中了恶意定时自动运行脚本的招了 。想要找到根源,得借助WMI Tools软件的帮助(WMI Tools下载) 。
浏览器首页被篡改几经波折?来套组合拳一波带走!

文章插图
PS:并不是小编不想直接给大家下载链接,而是官方下载打不开,而国内那些软件下载网站你们都懂的,刚刚小编下载时候也差点中招,所以只能用这样的方式提供给大家经过验证,干净的软件 。你们也不想像小编一样安装个软件要小心翼翼吧?
浏览器首页被篡改几经波折?来套组合拳一波带走!

文章插图
3、安装后打开WMI event viewer,点击左上角Register For Events,弹出Connect to namespace框,填入"rootsubscription"确定 。
浏览器首页被篡改几经波折?来套组合拳一波带走!

文章插图
4、点击左侧_EventFilter:Name="unown_filter",再至右侧右键点击ActiveScriptEventConsumer Name="unown",选择View Instant Properties,
浏览器首页被篡改几经波折?来套组合拳一波带走!

文章插图
5、查看ScriptText项可知,这是一段VBScript调用系统服务间隔30分钟执行一次,将所有浏览器调用加上"http://www.rkxy.com.cn/?kunown"受到影响的浏览器有(大家常用的浏览器差不多齐了):
IEXPLORE.EXE、chrome.exe、 Firefox.exe、360chrome.exe、360SE.exe、SogouExplorer.exe、Opera.exe、Safari.exe、Maxthon.exe、TTraveler.exe、TheWorld.exe、Baidubrowser.exe、Liebao.exe、QQBrowser.exe 。
6、找到源头,处理起来就简单多了,在WMI Event viewer中将_EventFilter:Name="unown_filter"项用鼠标右键删除,如果删除不掉就去WMITool安装路径(如C:Program Files (x86)WMI Tools)下,右键点击"Wbemeventviewer.exe",选择以"管理员身份运行"后,再将项目删除 。还没完,这只是处理了定时脚本,还要将各个浏览器快捷命令中的"http://www.rkxy.com.cn/?kunown"去掉,处理其他主页,也可以用相同的方法 。只是小编测试中没有中招,只能用我们举例了 。
要是用上面的方式得不到和小编测试环境相同的结果,大家可以到C:Program Files下,显示所有隐藏文件和系统文件,将WindowsApps文件夹彻底删除 。如果需要管理员权限,用之前介绍的方式,获取权限就能彻底删除,之后将浏览器首页改成正常即可 。这是第二种方法 。
浏览器首页被篡改几经波折?来套组合拳一波带走!

文章插图
7、经过查证,还有一种篡改浏览器首页是通过注册表及文件注入的方式进行(吐个槽,今天大半天的时间基本都耗在模拟测试环境和寻找解决办法了,这些古怪的方式让小编深深的怀疑这些是不是做安全防护软件的开发者做出来的推广方式,用常规软件和方法基本是无解的,而且还会感染安装程序,快无敌了) 。解决这样的首页篡改相对比较简单,Win R之后打开注册表编辑器,搜索"Mslmedia",将有关内容全部删除 。完事之后不要重启,接着去C:WindowsSystem32drivers文件夹下,找到Mslmedia.sys文件并彻底删除,重启之后再修改浏览器主页地址,可以解决这个问题 。

推荐阅读