今天本打算向各位介绍关于手机版百度网盘实现全速下载的实用技巧,但经过昨天的用户反馈以及网络搜索,发现情况不容乐观,因此决定暂时搁置百度相关内容,优先解决大家普遍面临的浏览器首页被篡改为2345和hao123的困扰。
近年来,网络环境发生了翻天覆地的变化,与以往相比,浏览器首页被篡改的目的已经发生了根本性的转变。过去,这种行为的动机多为提升知名度,而现在,其唯一目的就是获取用户流量,手段也变得更加多样化,甚至有些方法比病毒木马更加隐蔽和难以处理。接下来,我将针对各种情况提供详细的解决方案,请大家务必保持警惕。
首先,建议大家尝试使用最常规的方法修复被篡改的浏览器首页,例如使用第三方安全工具或手动更改浏览器主页地址。如果这些方法仍然无法解决问题,那么就需要采取以下更深入的措施。
我们需要找到浏览器的安装路径,如果情况与下图示例相似,那么很可能是受到了恶意定时自动运行脚本的攻击。为了找到问题的根源,我们需要借助WMI Tools软件(公众号界面输入“WMI”即可获取下载地址)。
PS:之所以没有直接提供下载链接,是因为官方下载渠道可能存在问题,而国内一些软件下载网站的质量参差不齐,我在下载过程中也差点遭遇了风险。因此,我选择通过公众号提供经过验证的干净软件。希望大家也能像我一样,在安装软件时保持谨慎。
安装完成后,打开WMI event viewer,点击左上角的register for events,在弹出的Connect to namespace框中输入“root\subscription”,然后点击确定。
点击左侧的_EventFilter:Name=”unown_filter”,再在右侧右键点击ActiveScriptEventConsumer Name=”unown”,选择view instant properties。
通过查看ScriptText项,我们可以发现这是一段VBScript,它每隔30分钟就会调用系统服务,并将所有浏览器的调用地址添加上“http://www.2345.com/?kunown”。受影响的浏览器包括(但不限于):”IEXPLORE.EXE”, “chrome.exe”, “firefox.exe”, “360chrome.exe”, “360SE.exe”, “SogouExplorer.exe”, “opera.exe”, “Safari.exe”, “Maxthon.exe”, “TTraveler.exe”, “TheWorld.exe”, “baidubrowser.exe”, “liebao.exe”, “QQBrowser.exe”。
找到了问题的根源,处理起来就相对容易了。在WMI Event viewer中,我们可以将“_EventFilter:Name=”unown_filter””项用鼠标右键删除。如果无法删除,可以前往WMITool的安装路径(例如C:\Program Files (x86)\WMI Tools),右键点击“wbemeventviewer.exe”,选择以“管理员身份运行”,然后再尝试删除该项目。但这只是处理了定时脚本,我们还需要将各个浏览器快捷方式中的“http://www.2345.com/?kunown”去掉。处理hao123的方法与2345类似,只是我在测试中没有遇到hao123的情况,因此主要以2345为例进行说明。
如果上述方法仍然无法解决问题,大家可以尝试到C:\Program Files下,显示所有隐藏文件和系统文件,将WindowsApps文件夹彻底删除。如果需要管理员权限,可以使用之前介绍的方法获取权限进行删除。完成这些操作后,将浏览器首页修改为正常状态即可。这是第二种方法。
经过进一步调查,我发现还有一种篡改浏览器首页的方式是通过注册表及文件注入进行的(不得不说,今天大半天的时间几乎都花在模拟测试环境和寻找解决办法上了,这些奇怪的方式让我怀疑这些是否是安全防护软件的开发者为了推广而设计的,用常规软件和方法基本无法解决,而且还会感染安装程序,真是让人头疼)。
解决这种首页篡改的方法相对简单,只需按下Win+R键,打开注册表编辑器,搜索“Mslmedia”,将所有相关内容删除。完成后不要重启计算机,接着去C:\Windows\System32\drivers文件夹下,找到Mslmedia.sys文件并彻底删除,重启后修改浏览器主页地址,问题即可解决。
以上几种篡改方式都有相应的解决办法,接下来的解决方案可以说是“杀敌一千,自损八百”的激烈对抗了!公众号界面输入“删除”,获取名为“Adwcleaner”的软件,或者直接去官网https://www.bleepingcomputer.com/download/adwcleaner/下载。启动软件后选择“Scan”,查看篡改首页的流氓软件感染了哪些应用程序,之后选择“Clean”会彻底清除感染文件,被感染的应用程序也会被直接卸载。如果不卸载这些被感染的应用程序,浏览器首页是无法修改回来的,只要运行这些应用,首页就会自动被篡改,这与病毒的效果没有任何区别。看图,为了做实验,我的QQ账号就牺牲了!
最后一种情况是安装软件自带浏览器篡改功能。如果你的浏览器被篡改之前,安装过某些软件,那么直接卸载这些软件即可。然后按照第二种和第三种方法进行清理。如果实在懒得折腾,重装系统也是一个选择。
在测试过程中,我还发现了一个额外的情况:每个网站后面偶尔会显示几位数字号码,搜索后得知这是推广组织代码,商家通过推广代码带来的流量与推广组织进行结算。说到这里,大家应该就能理解为什么现在篡改浏览器首页的方式如此“丧心病狂”了吧?这一切都是实打实的利益驱动!