Win11系統(tǒng)如何揪出主頁劫持的幕后黑手！近日，筆者發(fā)現(xiàn)在運(yùn)行桌面上的Edge瀏覽器的快捷方式后總是被強(qiáng)制劫持到某網(wǎng)站，而且該快捷方式刪除后又會自動恢復(fù)，但進(jìn)行查殺卻沒有發(fā)現(xiàn)任何病毒。那么，該如何查找問題的原因，并找到解決方案?下面筆者將解決問題的過程分享出來以供大家參考。需要的朋友一起看看吧！

使用Process Monitor找出創(chuàng)建快捷方式的進(jìn)程

該問題的主要表現(xiàn)是瀏覽器打開后被劫持到其他的網(wǎng)頁，因此我們先要找到被劫持的原因。在桌面上右擊該快捷方式并依次選擇“屬性→快捷方式”，在“目標(biāo)”框中可以看到在瀏覽器程序之后被添加了“http://hao.ttmmt.com/?v=1030”參數(shù)，正是這個參數(shù)對瀏覽器進(jìn)行了劫持(圖1)。

接下來我們再分析快捷方式為什么會“再生”。因為上述的快捷方式在每次刪除后都會被自動恢復(fù)，所以顯然在后臺有個特定的進(jìn)程在重新生成這個快捷方式。切換到圖1所示界面中的“常規(guī)”選項卡，看到快捷方式的位置是“C:UsersPublicDesktop”，即后臺進(jìn)程每次創(chuàng)建的快捷方式是“C:UsersPublicDesktopMicrosoft Edge.lnk”。

那么到底是哪個后臺進(jìn)程在創(chuàng)建快捷方式?后我們可以使用Process Monitor(https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon)進(jìn)行監(jiān)控。啟動該軟件后點擊菜單欄中的“Filter”，并勾選“Drop Filtered Events”，再點擊“Filter…”(圖2)。

隨后，在打開的窗口中去除所有進(jìn)程前的監(jiān)控勾選，在“Display entries matching these condtions”下依次選擇“Path”和“is”，在其后的文本框中輸入“C:UsersPublicDesktopMicrosoft Edge.lnk”，即監(jiān)控指定路徑下文件的創(chuàng)建事件，用來查看創(chuàng)建上述快捷方式的進(jìn)程(圖3)。

現(xiàn)在返回到桌面，按提示先刪除該快捷方式，在快捷方式重新出現(xiàn)后返回Process Monitor窗口，可以看到一個名為“scrcons.exe”的進(jìn)程創(chuàng)建了上述的快捷方式，而且根據(jù)生成時間的提示，該進(jìn)程每隔1個小時就會再次執(zhí)行創(chuàng)建操作，正是“scrcons.exe”進(jìn)程的存在才導(dǎo)致快捷方式不斷地復(fù)活(圖4)。

繼續(xù)在圖4所示的窗口中選擇“scrcons.exe”進(jìn)程，右擊并選擇“屬性”，在打開的窗口中切換到“process”選項，可以看到該進(jìn)程對應(yīng)“C:WindowsSystem32wbemscrcons.exe”。按提示在資源管理器中找到該文件后右擊并選擇“屬性”，在“詳細(xì)信息”選項卡下，可以看到這其實是一個系統(tǒng)文件，經(jīng)過查詢微軟文檔幫助，便可以知道它的主要作用是運(yùn)行WMI腳本(圖5)。

使用WMI Tools找出后臺運(yùn)行的WMI腳本

通過上述的方法我們知道了“scrcons.exe”進(jìn)程并不是病毒文件，那么它為何會不斷地創(chuàng)建上述的快捷方式呢?結(jié)合“scrcons.exe”文件作用的描述，現(xiàn)在可以基本判定本次問題很可能是一個WMI腳本劫持所導(dǎo)致的。對于WMI腳本的查看可以通過WMI Tools(https://www.adremsoft.com/netcrunch.tools/wmi-tools/)來實現(xiàn)。

完成WMI Tools的安裝后以管理員身份啟動“WMI Event Viewer”，在程序窗口中點擊第一個筆形圖標(biāo)打開“WMI Event Registration Editor”窗口，在彈出的“Connect to namespace”框中下拉并選擇“rootCIMV2”，點擊“OK”(圖6)。

繼續(xù)在打開的窗口中展開“_EventFiter”，在右側(cè)的窗格中可以看到本機(jī)正在運(yùn)行一個名為“VBScriptLKKids_consumer”的活動腳本(圖7)。

現(xiàn)在按提示雙擊該腳本打開其屬性窗口，在“Script Text”選項的“Value”項下可以看到運(yùn)行的腳本代碼。代碼的內(nèi)容較多，可以全選復(fù)制，然后粘貼到記事本新建的文檔中查看。在代碼中可以看到“http://hao.ttmmt.com/?v=1030”(它和圖1顯示的劫持參數(shù)是一致的)，并且很多常見的瀏覽器都會中招。正是這段代碼創(chuàng)建了快捷方式，并在瀏覽器后添加劫持參數(shù)，它通過“scrcons.exe”在后臺定時加載該腳本，這也正是快捷方式被刪除后會不斷“復(fù)活”的真正原因(圖8)。

小提示：

如果在圖7中顯示的活動腳本不止一個，為了能夠確定是哪一個腳本導(dǎo)致的問題，我們可以參考圖8的操作，依次打開每一個腳本的“Value”項查看具體代碼，通過代碼內(nèi)容來進(jìn)行判斷。

知道問題出現(xiàn)的原因后，解決的方法就是刪除腳本。返回圖7所示的窗口中，選中“VBSScriptLKKDS_filter”并右擊，然后選擇“DeleteI instance”，最后將桌面上的快捷方式的尾巴參數(shù)刪除，至此問題得到順利地解決。

以上就是腳本之家小編給大家分享的Win11瀏覽器打開后被劫持到其他的網(wǎng)頁的修復(fù)教程了，希望大家喜歡！

最新評論