admin 管理员组

文章数量: 887021

使用KMS激活WINDOWS10后Chrome浏览器主页被强制篡改

  • 背景
    • 1、使用杀毒软件查杀
    • 2、排查注册表
    • 3、清理浏览器
    • 4、排查快捷方式
    • 5、排查系统运行的进程
    • 6、找到的方法

背景

换了个新主板,本来不 用激活的Windows又要激活了,在网上随便下了一个KMS,傻傻地关掉杀安全软件进行激活后,发现还不是永久的,只有180天,本来想想算了。但激活后一打开平时用的Chrome,发现网页被劫持。极不甘心,试了一系列方法最后搞定,下面我简单讲讲解决的过程。

1、使用杀毒软件查杀

我个人觉得杀毒软件大部时候没什么用,所以也就装了个QQ管家,然后用QQ管家查杀,结果是系统安全,不喜欢(排斥)骑狗360没安装尝试,放弃。

2、排查注册表

进入注册表编辑器,按Ctrl+F,将篡改跳转的目标主页直接进行查找(注意,我这个跳转是分两步,双击打开浏览器后地址栏显示的是“http://xxxx.xxxx.top"的域名,然后过一秒左右会自动跳转到”hao123“),两个域名我都进行了查找,均无结果,放弃。

3、清理浏览器

在浏览器的地址栏输入”chrome://settings/“,点开”高级“-》”重置并清理“。

先点击”清理计算机“,结果也没找到可疑软件,然后将所有设置还原为默认,发现还是没有用,放弃。

4、排查快捷方式

在桌面上右击Chrome浏览器的图标,然后选择”属性“。看这里,是不是被加了小尾巴,我这个被篡改得很高级,并没有发现小尾巴,因此直接点击”打开文件所在的位置“

如果打开的位置不是在C盘下的正常Chrome应用,而是其他的网页,那直接将这个桌面快捷程序删除,进到正常的Chrome应用目录,发送快捷方式到桌面就搞定。但我直接进到了对的Chrome程序目录,然后双击应用程序,发现主页还是被篡改。因此,我感觉是chrome程序直接被改掉了,于是我把旧的浏览器卸载后,重新安装一次chrome。再一次打开chrome,发现主页还是被篡改。这牛氓软件确实厉害,放弃。

5、排查系统运行的进程

进行完上述操作后,基本可以认定必然有什么软件或者脚本在作怪。首先怀疑是否有可疑的进程,因此打开任务管理器,通过”右击对应进程“-》”打开文件所在的位置“,排查后发现并没有特别可疑的进程。然后在打开Chrome浏览器的时候观察有没有可疑进程,但发现有几个进程启停速度非常快,基本看不清,因此也放弃。

6、找到的方法

在网上找了一下,发现有很多类似的情况,一一试了一下,发现不行。然后找到了这一篇文章:https://blog.csdn/chichu261/article/details/83538876
我重复了一遍,发现不行。
然后又在B呼上找到一篇,https://www.zhihu/question/49929000
在浏览器地址栏上输入:”chrome://version/“,终于找到原因了,在命令行中被强制加上了一个小尾巴。

但是我在注册表中”计算机\HKEY_CLASSES_ROOT\ChromeHTML\shell\open\command“虽然找到了对应的值,但并不是这个命令

然后找到这一篇:https://wwwblogs/wangconnor/p/11448066.html
尝试修改快捷方式的目标命令,但发现也不管用。
最后,找到了这两篇,其中一篇是:https://www.zhihu/question/57332290?sort=created,还有一篇找不到了,说的是有一个叫”Roaming“的文件夹下的程序会持续修改命令行,强制将篡改的主页加在命令行后,而我在C盘上确实找到了“Roaming”文件夹,删除后发现还是不管用。
而我在另一篇帖子上看到有人通过查找系统日志最后找出这个软件名的,但我精力有限,还是算了。
最后将chrome的默认程序名由”chrome.exe"直接改为“new_chrome.exe",并重新发送快捷方式,算是解决了主页被篡改的问题。
关于将程序名改了之后,快捷方式没有图标的问题,可以右击对应的快捷方式,然后点击”属性“-》”更改图标“,将这路径指向修改后的exe程序即可选择图标。

这个牛氓软件虽然并没有处理掉,电脑也就用来玩玩游戏,懒得弄了。

本文标签: 浏览器 主页 KMS chrome