Win11浏览器打开后被劫持到其他的网页修复教程
我要评论Win11系统如何揪出主页劫持的幕后黑手!近日,笔者发现在运行桌面上的Edge浏览器的快捷方式后总是被强制劫持到某网站,而且该快捷方式删除后又会自动恢复,但进行查杀却没有发现任何病毒。那么,该如何查找问题的原因,并找到解决方案?下面笔者将解决问题的过程分享出来以供大家参考。需要的朋友一起看看吧!
使用Process Monitor找出创建快捷方式的进程
该问题的主要表现是浏览器打开后被劫持到其他的网页,因此我们先要找到被劫持的原因。在桌面上右击该快捷方式并依次选择“属性→快捷方式”,在“目标”框中可以看到在浏览器程序之后被添加了“http://hao.ttmmt.com/?v=1030”参数,正是这个参数对浏览器进行了劫持(图1)。
接下来我们再分析快捷方式为什么会“再生”。因为上述的快捷方式在每次删除后都会被自动恢复,所以显然在后台有个特定的进程在重新生成这个快捷方式。切换到图1所示界面中的“常规”选项卡,看到快捷方式的位置是“C:UsersPublicDesktop”,即后台进程每次创建的快捷方式是“C:UsersPublicDesktopMicrosoft Edge.lnk”。
那么到底是哪个后台进程在创建快捷方式?后我们可以使用Process Monitor(https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon)进行监控。启动该软件后点击菜单栏中的“Filter”,并勾选“Drop Filtered Events”,再点击“Filter…”(图2)。
随后,在打开的窗口中去除所有进程前的监控勾选,在“Display entries matching these condtions”下依次选择“Path”和“is”,在其后的文本框中输入“C:UsersPublicDesktopMicrosoft Edge.lnk”,即监控指定路径下文件的创建事件,用来查看创建上述快捷方式的进程(图3)。
现在返回到桌面,按提示先删除该快捷方式,在快捷方式重新出现后返回Process Monitor窗口,可以看到一个名为“scrcons.exe”的进程创建了上述的快捷方式,而且根据生成时间的提示,该进程每隔1个小时就会再次执行创建操作,正是“scrcons.exe”进程的存在才导致快捷方式不断地复活(图4)。
继续在图4所示的窗口中选择“scrcons.exe”进程,右击并选择“属性”,在打开的窗口中切换到“process”选项,可以看到该进程对应“C:WindowsSystem32wbemscrcons.exe”。按提示在资源管理器中找到该文件后右击并选择“属性”,在“详细信息”选项卡下,可以看到这其实是一个系统文件,经过查询微软文档帮助,便可以知道它的主要作用是运行WMI脚本(图5)。
使用WMI Tools找出后台运行的WMI脚本
通过上述的方法我们知道了“scrcons.exe”进程并不是病毒文件,那么它为何会不断地创建上述的快捷方式呢?结合“scrcons.exe”文件作用的描述,现在可以基本判定本次问题很可能是一个WMI脚本劫持所导致的。对于WMI脚本的查看可以通过WMI Tools(https://www.adremsoft.com/netcrunch.tools/wmi-tools/)来实现。
完成WMI Tools的安装后以管理员身份启动“WMI Event Viewer”,在程序窗口中点击第一个笔形图标打开“WMI Event Registration Editor”窗口,在弹出的“Connect to namespace”框中下拉并选择“rootCIMV2”,点击“OK”(图6)。
继续在打开的窗口中展开“_EventFiter”,在右侧的窗格中可以看到本机正在运行一个名为“VBScriptLKKids_consumer”的活动脚本(图7)。
现在按提示双击该脚本打开其属性窗口,在“Script Text”选项的“Value”项下可以看到运行的脚本代码。代码的内容较多,可以全选复制,然后粘贴到记事本新建的文档中查看。在代码中可以看到“http://hao.ttmmt.com/?v=1030”(它和图1显示的劫持参数是一致的),并且很多常见的浏览器都会中招。正是这段代码创建了快捷方式,并在浏览器后添加劫持参数,它通过“scrcons.exe”在后台定时加载该脚本,这也正是快捷方式被删除后会不断“复活”的真正原因(图8)。
小提示:
如果在图7中显示的活动脚本不止一个,为了能够确定是哪一个脚本导致的问题,我们可以参考图8的操作,依次打开每一个脚本的“Value”项查看具体代码,通过代码内容来进行判断。
知道问题出现的原因后,解决的方法就是删除脚本。返回图7所示的窗口中,选中“VBSScriptLKKDS_filter”并右击,然后选择“DeleteI instance”,最后将桌面上的快捷方式的尾巴参数删除,至此问题得到顺利地解决。
以上就是脚本之家小编给大家分享的Win11浏览器打开后被劫持到其他的网页的修复教程了,希望大家喜欢!
相关文章
win11设置虚拟内存有什么用? Win11中设置和管理虚拟内存的教程
作为物理内存的有效补充,虚拟内存能够显著提升系统的响应速度和运行效率,尤其是在面对大型应用或多任务处理时,然而,随着Win11的更新,一些用户发现自己在设置虚拟内存2024-10-21swapfile.sys是什么文件? Windows 11中的Swapfile.sys文件删除方法
Swapfile.sys,通常被称为metro程序交换文件,其主要功能是在Windows系统中为Metro应用程序提供一种后台运行的机制,这个文件可以删除吗?下面我们就来详细介绍2024-10-21- Win11系统打开压缩文件弹出安全警告窗口,遇到这个问题该怎么解决呢?下面我们就来看看通过修改注册表解决的这个问题的方法2024-10-21
Win11任务栏图标闪烁提醒次数怎么调? Win11设置图标闪烁的方法
Win11系统任务栏图标在来消息的时候会闪烁提醒,接下来,我将教教大家如何修改其闪烁次数,详细请看下文介绍2024-10-21
Win11 24H2怎么切换简体中文? Win11设置切换系统简繁体语言技巧
虽然我们日常使用最多的是简体字,但是有些软件、游戏需要使用繁体字系统才能正常运行,那么win11如何设置繁体字呢,其实只要在语言和区域里就可以设置了,详细请看下文介2024-10-21微软警告! 部分华硕设备与Win11 24H2存在兼容性问题导致蓝屏死机
微软Win11 24H2 更新导致部分华硕设备蓝屏死机(BSOD)问题,无法完成更新,已知受影响的设备包括 X415KA(Intel Pentium Silver N6000 Vivobook 14)和 X515KA(Celeron N2024-10-21无解! Win11 24H2使用摄像头部分功能时可致应用冻结
微软确认了Windows 11最新版本24H2的一个新Bug,部分设备在使用集成摄像头进行人脸或物体检测时可能会出现应用程序无响应,包括使用Windows Hello面部识别2024-10-21Win11 Beta 22635.4371 预览版发布:附KB504498完整更新日志
微软昨天发布了适用于Windows 11系统的 KB504498 更新,用户安装后版本号升至 Build 22635.4371,主要优化 Snap 布局、增强讲述人功能2024-10-19Win11 Dev 26120.2130 预览版发布:附KB5044400完整更新日志
Windows 预览体验计划刚刚为 Dev 渠道布了 Windows 11 Build 26120.2130 预览版更新,下面我们就来看看详细更新内容2024-10-19Win11 24H2 Recall捆绑文件管理器 独立卸载成难题?
有报道指出,新AI功能自动截屏Recall功能与文件管理器高度集成,卸载或禁用该功能可能会对文件管理器的使用造成不便,详细请看下文介绍2024-10-19
最新评论