很多使用 Windows 11 的朋友们可能会碰到浏览器主页被劫持的现象。用户会发现,每次打开浏览器时都会自动跳转到某个特定的网站。更令人烦恼的是,即便是删除相关快捷方式,它也会很快重新生成出来。使用常见的杀毒软件检查也无法找出具体问题所在。究竟该如何揪出这个隐藏起来的责任人呢?下面为大家分享一种有效的方法。
使用 Process Monitor 定位制造问题进程
浏览器主页被劫持的问题往往表现为被引导到一个意外网址。首先检查目标框里是否有额外的参数,像是类似 `http://hao.ttmmt.com/?v=1030` 的参数,这便是造成劫持的原因之一(图1)。这些参数通常是在原生程序路径后面追加上去的。
分析进一步发现,即使这些劫持过的快捷方式被反复手动删除了,一段时间之后却总能在原地重新出现,这意味着肯定存在某种机制在后台自动恢复这些快捷方式。 这些劫持链接的实际存放位置通常是 `C:\Users\Public\Desktop` 下,比如一个叫做 “Microsoft Edge” 快捷方式的恢复(参见图2中的“常规”选项)。但真正的谜底是如何识别创建它们的罪魁祸首呢?为此需要使用到一个叫作 Process Monitor 工具的帮助。
开启这个工具并设置过滤规则,确保能够关注特定路径下(比如 C:\Users\Public\Desktop\Misorft\Edge.lnk)文件创建事件(如图3所标示)以便观察到创建这些快捷键的具体后台流程。
当桌面中快捷图标被重新建立好后,立刻返回 Process Monitor,这时候你可以从日志记录里找出一个名为 scrcons.exe 的执行体,它负责频繁更新这些被删除过的快键符号,并按照时间间隔来定期复现这一过程(参考图像4)。
然后我们再深究 scrcons.exe 到底是何方神圣,可以在该文件对应的属性面板中定位到实际路径是 `C:\Windows\System32wbem\scrcons.exe`,同时也能发现它是Windows内部的系统服务之一(参照图片5)。
利用 WMI 脚本来揭露隐藏在后台的行为
上一步让我们了解到scrcons.exe并不像是病毒软件一样。但为什么这样一个系统组件会在不断地建立有害快捷方式呢?联系起scrcons.exe的主要工作性质—WMI脚本的执行机制——我们现在基本推断是 WMI 脚本导致了这种不寻常情况。为了进一步追踪这个问题背后更详细的真相,可以借助 WMI Tools 来获取更多有关运行环境下的所有 WMI 事件信息(网址参考 https://www.adremsoft.com/netcrunch.tools/wmi-tools/)。
下载安装完毕 WMI Tools 后,打开 WMIEvent Viewer 并连接至根目录 Cimv2(如图6)以检查所有活跃实例和相关联数据。 经过筛选,你将注意到一个被称作 `VBScriptLKKids_consumer` 命名的活动进程(如图7)。
双击该项查看完整属性表,其中包含了正在执行的具体 VBS 源码。这部分源代码相当冗长且繁复。你可以选中内容并复制,然后再粘贴入新的记事本文档查看其完整信息(如图8)。仔细分析其中的 URL `http://hao.ttmmt.com/?v=1030` 与之前发现的一样。这个脚本还会针对多种不同浏览器实施相同的劫持手段。简言之,脚本经由scrcons.exe执行并设定成固定循环触发条件,从而导致了我们前面观察到的那种异常的反复创建行为。
提示: 如果发现不止一组脚本处于运作状态,请逐个查看各组属性中的 Value 来确认哪一部分导致你的问题。
识别并清除有问题的脚本: 最终的解题步骤在于清除掉导致故障的 VBSScriptLKKDS_filter。首先回到 WMI Event Viewer 那边(如图7所标记的区域),选择对应的脚本后单击右键删除实例(如删除 I 选项),接着从电脑桌面上手动移除所有受牵连链接里的尾缀劫持字符串(参见图5、8)。
发表评论