【魔道之争】浏览器被劫持，启动每次都一定会打开2345orhao123or360导航

jasonshaw

你有遇到过，突然某一天，打开浏览器时弹出 2345导航或者hao123或者360导航等等，垃圾网页吗？

你有遇到过，所有浏览器打开都是上述悲催的结果吗？

你有遇到过，历尽千辛万苦，都是悲催依旧吗？


————————————————一位跟我一样受难者如是说：——————————————————
电脑上的IE,搜狗，Chrome，360浏览器的启动页打开都被修改为 http://www.2345.com/?12562 。 浏览器的主页没有被修改
从桌面，任务栏，开始菜单里面的快捷方式打开浏览器都会自动转到2345.
从浏览器的安装文件夹里直接打开也会转到2345.
360的快速启动里面打开也会转到2345
但是从小Q书桌（快速启动）里面打开浏览器图标都会转到自己设置的页面。

已尝试过的解决方法：
360锁定主页没用。
360修复没有用。
360查杀木马什么都没有查到。
把小Q书桌里面的快捷方式替换到桌面或任务栏没有用。
桌面上浏览器图标属性里面的目标为 “C:\Users\大猫\AppData\Local\Google\Chrome\Application\chrome.exe  ”
后面没有2345的链接。
在注册表里没有搜到 http://www.2345.com/?12562 这个项

打开每个浏览器首页弹出个2345，不能打开自己设置的主页真的非常烦人。
————————————————————————————————————————————————

那你要仔细看看我的帖子（算是整合大全帖吧），对号入座，估计9成概率帮你解决问题！
“魔高一尺道高一丈”，
书归正文：
————————————————我是分割线————————————————————
先说说，这种“顽疾”，经过我的各种查找总结，基本属于浏览器劫持，分为四个等级

1、微微劫持，通过桌面、任务栏快捷方式就会打开这些垃圾导航页，而直接进入程序文件夹又可以正常启动
2、轻度劫持，浏览器的主页和默认的打开启动，指向了一个这些导航网页（给别人做肉鸡，帮人赚钱）
3、中度劫持，个别浏览器，不管如何通过配置选项，都启动一个导航页（包括主页，新建标签），配置每次再下次启动时还会变回来
4、重度劫持，几乎所有浏览器，全面中招，配置中毫无踪迹，几乎崩溃了，绝对顽疾啊，没得改，就是这样弹啊弹啊。。。。。，直至绝望。。。

那么从原理来分这些是也可以分分类：

1、修改快捷，通过给常见浏览器的桌面、任务栏快捷方式，增加启动参数，实现劫持
2、修改高级浏览器的默认配置，或者高优先级配置，实现控制启动页等
3、有个监控进程，真正意义的监听浏览器打开，然后直接侵入劫持浏览器的打开页

好了，那么怎么对症下药呢？（因为可能是多种问题的综合结果，建议一下处理方法，逐一走过，一般可以根除问题）


1、右键桌面、任务栏等浏览器启动的快捷方式，点击“属性”，去掉可恨的小尾巴，如下图（随便取一个浏览器为例）


看到这些小尾巴，毫不留情的删除，然后确定，保存，不过不要高兴太早，要接着来哈！
2、打开任意中招的浏览器，然后找到“选项”或者“设置”，找到启动页的设置，对于启动、新标签页、主页等各种能设置网址的地方全部都查一遍，遇到不认识的网页，一概删除或者修改，如下图（以chrome66 设置为例）


如果到这里，就解决了，那你是幸运的，不然还是继续吧
3、很多浏览器都有默认优先级高的配置，以firefox为例，一个特殊的配置文件，不管你当前如何修改，下次启动还是以高级配置文件进行覆盖的，这也是你明明都改掉了设置，下次设置神奇的又回来，
这些现象以“非善意”的定制版浏览器发生较多，以firefox为例（其他浏览器可能不是文本配置，可能是sqlite文件等，需要单独处理了，这里先不展开），在配置文件夹，比如系统默认的文件夹
%APPDATA%\Mozilla\Firefox\Profiles\  （win+r 运行弹出，输入地址回车即可进入）
或者程序目录（定制版、便携版一般都在配置目录），比如 程序目录/profiles/default/
找到user.js（不是pref.js），user.js 是高优先级的配置文件，每次启动firefox时，都会覆盖你上次完成的配置（保存在pref.js中），这也是你辛苦改好，下次一切又恢复垃圾配置的原理
修改其中类似如下位置（我的已经删掉了，可能要修改属性不止这些，有机会再补全哈）：

1. //===================常规===================//
   
2. //启动FF时的动作？ 0 打开空白页；1 打开主页；2 打开上次浏览的页面；3 恢复之前的会话
   
3. user_pref("browser.startup.page",3);
   
4. //主页
   
5. user_pref("browser.startup.homepage", "http://xxx.hao123.com/XXX.html?tn=XXXX");

复制代码

建议直接删除后，保存文件，然后重新进入第二步重新自己设置一下启动页、主页、新建标签页等配置

保存，重启浏览器，如果世界清静了，恭喜，你是幸运的，否则还得继续

4、高级的来了，改快捷方式、改设置、改默认配置都继续悲催，那你是被盯上了——有进程监控，你改过去，它在改回来
常见的是有个非常隐蔽的WMI定时计划任务，像幽灵一下不停的搞事，如何解决呢？看下面图文：

（1）下载、解压、双击安装WMITools.exe工具（一路默认安装就不赘述了）（这里有我用的给大家分享：链接: https://pan.baidu.com/s/1_73Gi31kHMdDITRWcmf1dg 密码: tq2g ）
（2）安装完成后，如下图打开程序，打开之后，点击笔尖图标register for events，


Browse For Namespace→Connect→OK


点击左边的_EventFilter:Name=……→再点击右窗口的ActiveScriptEventConsume r Name……→在弹出的窗口中选择view instant properties。


在弹出的对话框中找到被劫持网址一项→右键点击菜单中选择→Set to Empty（设置为空）即可。（那个垃圾网页的身影闪现）


最后退出设置→是。再去检测所有的浏览器主页就干净了！


哈哈，你以为可以了吗？可能遇到CIMV2下面根本没有任何项，当然也没有看到那个垃圾网址，基本上跟我通病相连了

5、最后一招删除驱动，以我的为例，在windows目录下有一个guardapi.dll的文件，如果你电脑中有，估计就是中了同一招

进入C盘windows目录，找到guardapi.dll，然后看看跟它修改日期相同或者非常靠近的驱动文件（.sys），一般这个.sys文件的文件名是一串随机字母数字组成的（方便混淆）
重启电脑，F8进入安全模式，重新进入c盘windows目录，找到刚才看到那两个元凶文件，直接删除，
然后重启电脑，重复检查一下1~3，都处理好了之后，你的世界终于清静了

————————————————我是分割线————————————————————
哪天“魔高一丈，只能等着道高一丈二”了！^_^


补充可能引发问题的“木马”携带者

1、360全家桶之流，个别推广渠道下载的360全家桶，自己就是强制劫持的“木马”

2、小马激活工具（一般容易带入：hao123.com/?tn=97175858_hao_pg这样的劫持网址，我中的就是这种，只能删除guardapi.dll及其驱动）

3、kms激活工具（一般容易带入解决方法四中的定时服务任务）

4、2345修复大师（一般容易带入：2345类导航页）

补充其他可能的解决方法：

1、怎么彻底删除2345主页？2345网址导航彻底清理教程！
2、解决主页被2345修改的技巧（方法）
3、任何浏览器主页被2345劫持最新解决办法
4、根除hao123劫持浏览器的方法
5、浏览器启动页被2345劫持修复方法
6、所有浏览器第一次打开的页面（不是主页）被劫持
7、chrome 主页被劫持，每天首次打开chrome都会进入2345的界面，求助解决办法？

通用解决能力（难缠的时候）：

1、百度，把自己的现象完整正确的描述出来，应该可以找到同病相怜者

2、使用powertool或Process Hacker，手工查毒、杀毒

3、查看注册表，查看与自启动服务、浏览器启动页等相关键值

4、问中过招的人的解决方法。

希望大家能早日摆脱苦海能够解决问题，欢迎大家补充，共同抵制强制垃圾（这是个产业啊，360就是从干这个起家的，sigh！）

sillycat

一大波三录灵洗地大军正在赶来的路上

BatistaY

直接删除system32文件夹下最近创建的签名诡异的dll文件就行了，不用那么麻烦

jasonshaw

BatistaY 发表于 2018-5-12 10:49
直接删除system32文件夹下最近创建的签名诡异的dll文件就行了，不用那么麻烦

思路是可以的


只是这个诡异对大多数人很难界定


而且已经中招的人，单纯删除dll，原本遗留的问题，还的清理一下

主要是给需要的人，思路和具体执行的方法，

大神有更牛的方法，给个完整的图文教程？