瀏覽器被劫持(hao123)&暴風激活攜帶病毒瀏覽器劫持解決方法

瀏覽器被劫持解決方法

1、瀏覽器設置被篡改
這是早期方法了，稍微懂點電腦的都會，中招之后首先查看瀏覽器設置。

如已被修改，將其修改為about:blank（空白頁）或者原先的首頁，應用后關閉瀏覽器后重新打開瀏覽器看是否成功。

如首頁仍被篡改或者設置里並沒被修改，請看第二步。

2、快捷方式被修改
右鍵點擊瀏覽器快捷方式查看屬性，如圖。

發現沒？在目標一欄后面加了hao123的網址了（李彥宏，我有一句MMP不知道當講不當講），這是程序的運行參數，打開都會傳入這行網址，刪除那行網址，重新打開瀏覽器看恢復了沒有？還沒？請看第三步。

3、軟件設置
查看你當前正在運行的軟件設置，是否有相關設置。某些免費軟件的作者迫於生計可能會在軟件設置里將你的瀏覽器首頁鎖定成他的推廣頁面（這里“免費”不加引號的原因是確實有些免費軟件很良心，這樣做也無可厚非，畢竟能給你關閉的選項就不錯了）。舉個例子，曾經我將火絨作為我的安全軟件，結果一直出現彈窗，查找了一圈，發現在火絨設置里有這么一項，當場臉一黑。。排查后看有無問題，如果還有，請看第四步。

4、注冊表被修改
win+r打開運行窗口輸入regedit，ctrl+f打開搜索窗口，搜索那行推廣網址，刪除相關鍵值。如果沒有修改過注冊表的，這步請謹慎進行，有可能系統會出問題。

關閉注冊表，再打開瀏覽器看下成功沒。還沒，再繼續看。

5、修改瀏覽器主程序名
右鍵瀏覽器快捷方式，點擊打開文件所在的位置，定位到瀏覽器主程序。

將瀏覽器主程序名修改成任意其他名字，如f**k_lyh.exe等。再次打開看看是否已經改回來了？

如果以上方法均無效，這一步應該能解決絕大部分情況。但是如果像我一樣可能無法忍受，總會有種如鯁在喉的感覺，不解決不舒服斯基，那么繼續看，接下來的步驟需要一定的電腦常識。

6、WMI
某些流氓軟件劫持瀏覽器的原理是一段通過WMI發起的定時自動運行腳本，這個腳本會自動遍歷瀏覽器的快捷方式，並重新加上啟動參數。WMI（Windows Management Instrumentation）可以理解成Windows系統后台運行的一個事件管理器。

查看WMI事件需要安裝WMITool（管理員身份運行），安裝完畢后打開WMI Event Viewer，

左上角點擊鋼筆圖標，一路OK，

雙擊左欄EventFilter，出現如下（這張圖是網上找的，手頭沒有）

找到ScriptText，看到value里面的值沒有，

里面代碼類似

On Error Resume Next
Const link = "http://hao.169x.cn/?v=108"
Const link360 = "http://hao.169x.cn/?v=108&s=3"
browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"

lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UserschenxhDesktop,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UserschenxhAppDataRoamingMicrosoftWindowsStart MenuPrograms"
。。。。。

此處參考鏈接：解決hao123脅持chrome主頁問題

右鍵刪除之即可。

7、dll劫持
這種情況目前我還沒碰到過，不過大致解決方法可以通過下載process explorer（火絨軟件也可）查看進程鈎子，這里需要一定電腦知識判斷有無異常鈎子，刪除對應文件就行。

8、安裝360系統急救箱，進入安全模式，斷網用360系統急救箱全盤深度掃描

終極方法--重裝（不建議）
如果實在忍受不了這個又找不到解決方案，那么只有一個方法，重裝電腦（最好是官方純凈的系統）。網上經常有人建議重裝，這個是非常不負責任的做法，我不提倡，畢竟數據無價，重裝電腦后需要再設置的東西太多，浪費時間。

參考：https://www.zhihu.com/question/21883209
情況鏈接：https://www.52pojie.cn/thread-781946-1-1.html

暴風激活攜帶病毒瀏覽器劫持解決方法：

edkaorun xpvvbb名字差不多是這樣的兩個內核病毒，
在C:\Users\17155\AppData\Local\Microsoft\WindowsApps文件夾下，
通過火絨查殺出來的，處理后重啟就解決了

分析發現，本次截獲到的麻辣香鍋病毒攻擊手法十分隱秘。為順利躲過系統檢測，它所釋放的所有病毒文件均攜帶偽造的數字簽名。
該病毒的劫持流程為病毒作者設置了兩個惡意驅動，其中KMDF_LOOK.sys通過注冊minifilter，阻止瀏覽器進程加載安全模塊，隨后進程創建回調，在用戶啟動瀏覽器時通過增加命令行的方式劫持瀏覽器主頁。而KMDF_Protect.sys則如同一個守門人，拒絕病毒進程之外的所有請求，以保護病毒文件；除此之外，還會注冊一個名為Windows Mobile User Experience Server的系統服務，用於病毒升級。

參考鏈接：
https://tieba.baidu.com/p/6547762816?qq-pf-to=pcqq.c2c
https://www.zhihu.com/question/21883209