阅读:2920回复:0
浏览器被劫持网址
启动浏览器就打开hao643网址,然后转向到hao123页面。经检查是恶意软件修改了浏览器的快捷方式,在启动浏览器的文件名后面加上了恶意网址。可去掉后还是打开劫持页面,而且过一段时间又会在快捷方式中加上hao643网址。受影响的浏览器有 IE 和 Firefox 。
经网上搜索找到的解决方案是通过打开 WMI Tools 中的 wbemeventviewer.exe ,删掉 WMI 数据库中恶意 script 。但是删掉后仍然无效,即便快捷方式中不再添加hao643地址,启动浏览器还是自动打开hao643!哪怕我不通过快捷方式启动浏览器,而是在资源管理器中直接点击 iexplorer.exe 和 firefox.exe 都会打开恶意网址!经查看,启动时会在命令中自动加上hao643网址作为参数,和在快捷方式中加上的一样,这就奇怪了。经搜索注册表中相关的键和键值,没有任何有关hao的注册项, IE 的默认页和起始页等都没有,全都是正常的默认值,各浏览器的主页设置也正常。 但如果是通过在 CMD 中以命令执行的方式启动 iexplorer.exe 和 firefox.exe 则不会自动打开恶意网址,这说明浏览器本身是好的,没有被篡改,问题出在系统上。那么,是系统哪个地方被篡改了呢? |
|