chrome首页被hao123劫持了，求PC区大大们指点！

thez

win10系统，现在如果将chrome快捷方式固定到下方任务栏，那么每次开机后就会被自动劫持为hao123，试过网上一些解决方法，但每次都是开机后又被劫持。目前的解决方法就是不用任务栏快捷方式，而是用桌面快捷方式，不会被劫持，但还是不爽，求一劳永逸的彻底解决方法。

thez

无印凉粉 发表于 2016-1-18 16:48
是不是装什么腾讯pc管家了，删了之后进注册表手动清。

原本自带装了，被我给卸载了，手动清是怎么清？求教程

香菜

快捷方式被换成带ham123参数的了，换个快捷方式。

outrage

我是注册表里清了才解决的 当时为了激活win10搞进来的

水无绫濑

看这里的快捷方式
%appdata%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

thez

水无绫濑 发表于 2016-1-18 18:04
看这里的快捷方式
%appdata%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar

这方法我用过，但是清除后，重新一开机就又恢复了

华蝶风雪

有可能是通过wmi篡改的

水无绫濑

thez 发表于 2016-1-18 19:07
这方法我用过，但是清除后，重新一开机就又恢复了

其实你可以试试设置read only权限……

Realplayer

之前IE被劫持是吧programdata里面认不出的文件夹全部删掉然后清理注册表
这个文件夹笨蛋是看不到的

月千一夜

安装 Malwarebytes Anti-Malware 这个反间谍软件然后清理试试吧
反正当时中的国外流氓软件的招就是靠它给清除的
对于国内的不知道效果如何
参照：之前的提问http://bbs.saraba1st.com/2b/thread-1149345-1-1.html

thez

无印凉粉 发表于 2016-1-18 21:06
运行——regedit——current user——software——microsoft——internet explorer——main
找到start pa ...

我在main里面找不到你说的这两个怎么破？

fly26

我是重做系统了才干掉

gogoex

任务栏快捷方式被改了吧

netplaying

有可能使用wmi服务启动vbs程序改首页的，禁用相关服务吧

benjin

我上次这样都是要紧注册表把所有HAO123字眼的都删除掉才解决

cxasuka

chrome以前有被hao123劫持，后来发现是插件的问题，禁用对应的插件就行了，不知道是不是一样的情况

exzhawk

重装吧还是，现在发现chrome被劫持，谁知道什么时候还会发现别的啥被劫持的，国产软件是卸载不干净的

exzhawk

重装吧还是，现在发现chrome被劫持，谁知道什么时候还会发现别的啥被劫持的，国产软件是卸载不干净的

yuriyang

注册表搜索一下hao123清理掉就ok

粉有

右键快捷方式的图标看看属性是不是有hao123的地址在

netplaying

yuriyang 发表于 2016-1-19 08:35
注册表搜索一下hao123清理掉就ok

现在的流氓软件早就不屑于在注册表留马脚了。

gnorz

任务栏的快捷方式右键属性，打开文件位置，
把那个位置的快捷方式属性里的hao123删掉。

水无绫濑

如果要查看各种启动项目的话，推荐用微软出品的这个工具
https://technet.microsoft.com/en-us/sysinternals/bb963902

netplaying

gnorz 发表于 2016-1-19 10:06
任务栏的快捷方式右键属性，打开文件位置，
把那个位置的快捷方式属性里的hao123删掉。 ...

这是治标不治本，删完过几分钟就会发现又被加小尾巴了。

gnorz

netplaying 发表于 2016-1-19 10:14
这是治标不治本，删完过几分钟就会发现又被加小尾巴了。

所以先要到进程里看看有没有什么可疑程序，先把可疑搞定。

mmmmk

https://www.zhihu.com/question/21883209
我当时用的是里面的 陆修明 答主提供的软件修好的；https://malwaretips.com/blogs/remove-hao123-virus/#junkware
http://downloads.malwarebytes.org/file/jrt
亲测有用

netplaying

gnorz 发表于 2016-1-19 10:31
所以先要到进程里看看有没有什么可疑程序，先把可疑搞定。

这种流氓行为肯定不会是常驻的进程，一般都是隐藏在某个服务里，若干小时执行一次，每次0.01秒就足够了，如果你用进程监视器过滤关键字，你会发现是svchost.exe。

netplaying

mmmmk 发表于 2016-1-19 10:32
https://www.zhihu.com/question/21883209
我当时用的是里面的 陆修明 答主提供的软件修好的；https://malw ...

这个JRT太扯淡了，直接把腾讯和淘宝全家删了，然而核心文件和注册表又删不掉，除了让你QQ和旺旺用不了之外有个屁用。

Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.2 (01.06.2016)
Operating System: Windows 10 Pro x64
Ran by ** (Administrator) on 2016/01/19 周二 at 10:47:29.15
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 24

Failed to delete: C:\ProgramData\alipay (Folder)
Failed to delete: C:\ProgramData\tencent (Folder)
Failed to delete: C:\Users\**\AppData\Roaming\tencent (Folder)
Failed to delete: C:\WINDOWS\system32\drivers\taoaccelerator64.sys (File)
Failed to delete: C:\WINDOWS\system32\drivers\tfsfltx64.sys (File)
Failed to delete: C:\Program Files (x86)\alipay (Folder)
Failed to delete: C:\Program Files (x86)\Common Files\tencent (Folder)
Failed to delete: C:\Program Files (x86)\sogouinput (Folder)
Failed to delete: C:\Program Files (x86)\tencent (Folder)
Failed to delete: C:\Program Files\Common Files\tencent (Folder)
Failed to delete: C:\Program Files\tencent (Folder)
Successfully deleted: C:\ProgramData\sogouinput (Folder)
Successfully deleted: C:\ProgramData\thunder network (Folder)
Successfully deleted: C:\ProgramData\txqmpc (Folder)
Successfully deleted: C:\Users\Public\thunder network (Folder)
Successfully deleted: C:\Users\**\AppData\Local\tencent (Folder)
Successfully deleted: C:\Users\**\Appdata\LocalLow\tencent (Folder)
Successfully deleted: C:\Users\**\AppData\Roaming\alipay (Folder)
Successfully deleted: C:\Users\**\AppData\Roaming\taobaoprotect (Folder)
Successfully deleted: C:\Users\**\AppData\Roaming\xiaomi (Folder)
Successfully deleted: C:\WINDOWS\system32\Tasks\AliUpdater{79FFA07B-D65B-4B12-962E-4C6C753DE8C8} (Task)
Successfully deleted: C:\WINDOWS\system32\Tasks\SogouImeMgr (Task)
Successfully deleted: C:\WINDOWS\Tasks\AliUpdater{79FFA07B-D65B-4B12-962E-4C6C753DE8C8}.job (Task)
Successfully deleted: C:\Program Files (x86)\qqmailplugin (Folder)



Registry: 17

Failed to delete: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\ QQPCTray (Registry Value)
Failed to delete: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\ QQPCTray (Registry Value)
Failed to delete: HKLM\SYSTEM\CurrentControlSet\services\QQPCRTP (Registry Key)
Failed to delete: HKLM\SYSTEM\CurrentControlSet\services\TFsFlt (Registry Key)
Failed to delete: HKLM\SYSTEM\CurrentControlSet\services\TSDefenseBt (Registry Key)
Successfully deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\aliim (Registry Value)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\pcas (Registry Key)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\QMUdisk (Registry Key)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\secbizsrv (Registry Key)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\SogouUpdate (Registry Key)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\TAOAccelerator (Registry Key)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\TAOKernelDriver (Registry Key)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\TS888x64 (Registry Key)
Successfully deleted: HKLM\SYSTEM\CurrentControlSet\services\TSSysKit (Registry Key)
Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{50F4150A-48B2-417A-BE4C-C83F580FB904} (Registry Key)
Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C9C7334B-5657-41e1-8F79-F6AACECA05F4} (Registry Key)
Successfully deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DDD362CF-523B-4BC9-8FDC-58F93B6BC945} (Registry Key)




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 2016/01/19 周二 at 10:48:41.01
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

mmmmk

netplaying 发表于 2016-1-19 10:52
这个JRT太扯淡了，直接把腾讯和淘宝全家删了，然而核心文件和注册表又删不掉，除了让你QQ和旺旺用不了之 ...

这JRT会造成这个效果吗？如果造成损失实在抱歉，因为对PC程序这方面不懂，当时是抱着死马当活马医的心态把两个都试了一下的，实在不行就重装了，结果使用之后的确有效果，如果JRT是这么扯淡的话，那就是第一个链接的软件有效果

原装大小姐

重装电脑问题大吗？如果不大，我建议重装，我就是这样，搞了一上午搞不定，连看电影都迟到，最后还是重装了事，win10还是挺容易的

ペチャパイ

win10不知道，win7我中过，在计划任务里写了个每2小时就启动一次某固定程序，删了就好了。
你可以装个360试试，流氓还得大哥治

superbigd

如果懂点相关的知识，autoruns是最好的工具