瀏覽器主頁被hao123劫持之解決方案

  恰逢十一假期用朋友的電腦寫部落格，但是一開啟chrome瀏覽器就先彈出http://ljd1.gndh666.top/，然後再跳轉到hao123.com。hao123真的是太「良心」了，讓人感動至極。吐槽歸吐槽，還是得解決不是。整了一上午，終於解決了，來給大家分享一下解決的過程吧。

  首先對桌面的chrome快捷方式點選右鍵，選擇屬性可得下圖，發現末尾並沒有包含非法URL地址：

  然後再在chrome瀏覽器中輸入chrome://version/，發現命令列為"C:\Users\admin\AppData\Local\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --origin-trial-disabled-features=MeasureMemory http://ljd1.gndh666.top 。嘗試將谷歌瀏覽器中的目標修改為"C:\Users\admin\AppData\Local\Google\Chrome\Application\chrome.exe" --flag-switches-begin --flag-switches-end --origin-trial-disabled-features=MeasureMemory https://www.baidu.com/，修改之後依然無法work。

  當時有預感就是所有的瀏覽器可能都被感染了，開啟IE瀏覽器後果然驗證了自己的想法。然後根據網上的攻略，下載了WMI Event Viewer（下載地址為http://www.microsoft.com/en-us/download/details.aspx?id=24045），然後來檢視電腦是否被定時執行指令碼給感染了。

  開啟軟體後，點選下列圖示：

  在Connect to namespace框中填入「root\CIMV2」，但是結果卻為空的，如下圖所示：

  網上說的有定時執行指令碼的截圖如下所示：

  排除掉定時任務以後，然後就使用了騰訊的電腦管家進行了全盤的病毒掃描和主頁鎖定後，依然不起作用。再經過搜尋引擎的搜尋和之前的經驗，決定使用火絨的專殺工具來小試牛刀。

  專殺工具需要單獨進行下載，然後重新命名後使用管理員許可權執行。結果掃描出了包含MLXG（麻辣香鍋）的幾個木馬（當時忘截圖了）。搜尋了一下MLXG，得到一個比較好的連結，其中部分文字如下所示：

• 中國所謂的「啟用工具」，可以稱為啟動工具，也就是讓一些本來需要序號、註冊的付費軟體，透過這些啟用工具來啟動，變成已付費的軟體。而在中國也會有一些專門的網站，蒐集了大量的這些「啟用工具」，因此自然有大量的網友會前去下載工具。

• 不過，根據「火絨」的工程師發現，從這些網站下載的，包括「暴風啟用」、「KMS」、「小馬啟用」等工具，裡頭都夾帶了一款名為「麻辣香鍋」的首頁鎖定病毒，病毒感染使用者電腦後會將首頁劫持為「http://**?.****111.top」（「？」為任意數字，如下圖）。

具體可參考連結：https://www.techbang.com/posts/78633-activation-tool-spreads-lock-virus-spicy-pot-to-induce-users-to-quit-security-software

  所以可以推測得到是在使用系統或者Office啟用軟體中被感染了。希望大家遇到相同的問題也能夠順利解決。