Win11系統(tǒng)如何揪出主頁劫持的幕后黑手！近日，筆者發(fā)現(xiàn)在運(yùn)行桌面上的Edge瀏覽器的快捷方式后總是被強(qiáng)制劫持到某網(wǎng)站，而且該快捷方式刪除后又會(huì)自動(dòng)恢復(fù)，但進(jìn)行查殺卻沒有發(fā)現(xiàn)任何病毒。那么，該如何查找問題的原因，并找到解決方案?下面筆者將解決問題的過程分享出來以供大家參考。需要的朋友一起看看吧！

使用Process Monitor找出創(chuàng)建快捷方式的進(jìn)程

該問題的主要表現(xiàn)是瀏覽器打開后被劫持到其他的網(wǎng)頁，因此我們先要找到被劫持的原因。在桌面上右擊該快捷方式并依次選擇“屬性→快捷方式”，在“目標(biāo)”框中可以看到在瀏覽器程序之后被添加了“http://hao.ttmmt.com/?v=1030”參數(shù)，正是這個(gè)參數(shù)對(duì)瀏覽器進(jìn)行了劫持(圖1)。

接下來我們?cè)俜治隹旖莘绞綖槭裁磿?huì)“再生”。因?yàn)樯鲜龅目旖莘绞皆诿看蝿h除后都會(huì)被自動(dòng)恢復(fù)，所以顯然在后臺(tái)有個(gè)特定的進(jìn)程在重新生成這個(gè)快捷方式。切換到圖1所示界面中的“常規(guī)”選項(xiàng)卡，看到快捷方式的位置是“C:UsersPublicDesktop”，即后臺(tái)進(jìn)程每次創(chuàng)建的快捷方式是“C:UsersPublicDesktopMicrosoft Edge.lnk”。

那么到底是哪個(gè)后臺(tái)進(jìn)程在創(chuàng)建快捷方式?后我們可以使用Process Monitor(https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon)進(jìn)行監(jiān)控。啟動(dòng)該軟件后點(diǎn)擊菜單欄中的“Filter”，并勾選“Drop Filtered Events”，再點(diǎn)擊“Filter…”(圖2)。

隨后，在打開的窗口中去除所有進(jìn)程前的監(jiān)控勾選，在“Display entries matching these condtions”下依次選擇“Path”和“is”，在其后的文本框中輸入“C:UsersPublicDesktopMicrosoft Edge.lnk”，即監(jiān)控指定路徑下文件的創(chuàng)建事件，用來查看創(chuàng)建上述快捷方式的進(jìn)程(圖3)。

現(xiàn)在返回到桌面，按提示先刪除該快捷方式，在快捷方式重新出現(xiàn)后返回Process Monitor窗口，可以看到一個(gè)名為“scrcons.exe”的進(jìn)程創(chuàng)建了上述的快捷方式，而且根據(jù)生成時(shí)間的提示，該進(jìn)程每隔1個(gè)小時(shí)就會(huì)再次執(zhí)行創(chuàng)建操作，正是“scrcons.exe”進(jìn)程的存在才導(dǎo)致快捷方式不斷地復(fù)活(圖4)。

繼續(xù)在圖4所示的窗口中選擇“scrcons.exe”進(jìn)程，右擊并選擇“屬性”，在打開的窗口中切換到“process”選項(xiàng)，可以看到該進(jìn)程對(duì)應(yīng)“C:WindowsSystem32wbemscrcons.exe”。按提示在資源管理器中找到該文件后右擊并選擇“屬性”，在“詳細(xì)信息”選項(xiàng)卡下，可以看到這其實(shí)是一個(gè)系統(tǒng)文件，經(jīng)過查詢微軟文檔幫助，便可以知道它的主要作用是運(yùn)行WMI腳本(圖5)。

使用WMI Tools找出后臺(tái)運(yùn)行的WMI腳本

通過上述的方法我們知道了“scrcons.exe”進(jìn)程并不是病毒文件，那么它為何會(huì)不斷地創(chuàng)建上述的快捷方式呢?結(jié)合“scrcons.exe”文件作用的描述，現(xiàn)在可以基本判定本次問題很可能是一個(gè)WMI腳本劫持所導(dǎo)致的。對(duì)于WMI腳本的查看可以通過WMI Tools(https://www.adremsoft.com/netcrunch.tools/wmi-tools/)來實(shí)現(xiàn)。

完成WMI Tools的安裝后以管理員身份啟動(dòng)“WMI Event Viewer”，在程序窗口中點(diǎn)擊第一個(gè)筆形圖標(biāo)打開“WMI Event Registration Editor”窗口，在彈出的“Connect to namespace”框中下拉并選擇“rootCIMV2”，點(diǎn)擊“OK”(圖6)。

繼續(xù)在打開的窗口中展開“_EventFiter”，在右側(cè)的窗格中可以看到本機(jī)正在運(yùn)行一個(gè)名為“VBScriptLKKids_consumer”的活動(dòng)腳本(圖7)。

現(xiàn)在按提示雙擊該腳本打開其屬性窗口，在“Script Text”選項(xiàng)的“Value”項(xiàng)下可以看到運(yùn)行的腳本代碼。代碼的內(nèi)容較多，可以全選復(fù)制，然后粘貼到記事本新建的文檔中查看。在代碼中可以看到“http://hao.ttmmt.com/?v=1030”(它和圖1顯示的劫持參數(shù)是一致的)，并且很多常見的瀏覽器都會(huì)中招。正是這段代碼創(chuàng)建了快捷方式，并在瀏覽器后添加劫持參數(shù)，它通過“scrcons.exe”在后臺(tái)定時(shí)加載該腳本，這也正是快捷方式被刪除后會(huì)不斷“復(fù)活”的真正原因(圖8)。

小提示：

如果在圖7中顯示的活動(dòng)腳本不止一個(gè)，為了能夠確定是哪一個(gè)腳本導(dǎo)致的問題，我們可以參考圖8的操作，依次打開每一個(gè)腳本的“Value”項(xiàng)查看具體代碼，通過代碼內(nèi)容來進(jìn)行判斷。

知道問題出現(xiàn)的原因后，解決的方法就是刪除腳本。返回圖7所示的窗口中，選中“VBSScriptLKKDS_filter”并右擊，然后選擇“DeleteI instance”，最后將桌面上的快捷方式的尾巴參數(shù)刪除，至此問題得到順利地解決。

以上就是腳本之家小編給大家分享的Win11瀏覽器打開后被劫持到其他的網(wǎng)頁的修復(fù)教程了，希望大家喜歡！

最新評(píng)論