如何自救?hao123劫持篡改chrome主页,而且注册表检索hao123有很多无法删除项

本文最初是发布在知乎2016-03-29,经过整理收录至简书专题


https://www.zhihu.com/question/41879654/answer/92822736?group_id=818061987832541184

关键字:hao123、世界级流氓软件、软件层面、注册表修复、故障自救


解决问题之前,请仔细查看以下问题描述是否符合自身遇到的hao123,hao123也分版本年代,类似感冒和流感,情况可轻可重。

能用常规手段解决就用常规手段解决,不要轻易大动筋骨系统软件层面的修改


事源:

删除360安全卫士后,重启电脑后chrome打开后出现hao123的首页劫持

经过两天的搏杀后,感觉靠自己一人的力量可能无法根除hao123的劫持,特此发问知乎er们求助


设备信息:

Windows7盗版旗舰 32位,多年未曾重装


具体表现:

chrome 快捷方式 -属性→ 有hao123的网址尾巴

打开chrome ,会弹出hao123的首页劫持


解决故障目前遇到的问题

注册表检索有 几十个hao123protect项, 常规手段(提权)无法删除(错误提示:非父对象继承)

有恶意进程/驱动的运行,Pchunter右键被锁定,无法进行删除

进展:PChunter中右键锁定 莫名其妙解除,可能 360卫士主动防御运行中


可疑软件排查进度:

即安装时有可能捆绑hao123的软件(可疑软件名单怎么来的?最近安装的软件更新、百度反向搜索、知乎hao123帖子)

驱动人生5→曾安装,已卸载

快播→曾安装,已卸载

魔方→未安装

华为网盘→未安装

腾讯管家→未安装

ZOL软件安装器→未安装


常规手段尝试:

Internet选项-设置 →无效

avast检测 →无效

chrome快捷方式改名→ 无效

chrome-扩展,删除最近安装的扩展,不怎么使用的扩展→ 无效

chrome-设置-启动时-设置网页(空) → 无效

谷歌软件清理工具software removal tool → 无效

快捷方式-属性-目标,删掉尾巴→重启后无效

删掉有问题快捷方式,重新建立快捷方式到Quick Launch

C:\Users\用户名字\AppDara\Roaming\Microsoft\Internet Explorer\Quick Launch

→重启后无效

修改注册表固定 Internet选项 锁死主页 → 无效

360系统急救箱→ 无效

360安全卫士 →重启后有效,但是注册表残留hao123protect仍存在!治标不治本



高级一点的手段尝试:

1 注册表检索直接删除注册表hao123相关的值→能删除的不断再生,大部分无法删除

2 西天取经老外四件套adwcleaner、JRT、HITMANPRO、mbam

Removehttp://Hao123.comvirus (Removal Guide)→ 无效

3 PChunter→内核钩子全红,应用层钩子全红、系统杂项4个红,不敢轻举妄动未处理

4 手动删.sys .dll (以下名单收集自知乎帖子提供的可疑.dll .sys ,以下在本人drives内均没有)

HYTJ.dll

QvodExtend.dll, QvodWebBase.dll →快播设置的劫持

Mslmedia.sys→POT冒牌网站遇到的劫持

jihuo.dll、LHPLKernel.sys 、surak.sys→小马激活遇到的劫持

kisBase64.dll→ 金山安全助手遇到的劫持



已经尝试过的手段

以上途径,以及几乎所有hao123知乎相关的贴


未尝试的手段

解除运营商劫持

Reset chrome默认设定

chrome快捷方式-安全-禁止SYSTEM写入

修改HOST

Microsoft silverlight 的卸载

360人工服务

Process Explorer

Process Hacker 2

Pchunter


请问

在不重装的情况下,不使用老流氓360情况下

1可否移除注册表内所有hao123protect的项?

2如何用PChunter解决此的问题?





其实是自问自答

知乎回答发布时间:2016-03-29 

与hao123的搏斗终于告一段落,前后大概3-4天

尝试知乎,贴吧,V2EX,Youtube,几乎所有关于hao123的帖子

均无法清除hao123对chrome的劫持,不是有意嘲讽,是流氓版本实在太新

全靠PChunter+Regedit实现不重装电脑的自救,步骤如下

PChunter下载地址:http://www.xuetr.com/



1使用PChunter修复,铲掉hao123Protect的保护壳

→强行修复可疑的应用钩子、内核钩子

→重启

→检查PChunter内是否还有可疑的应用钩子、内核钩子生成

→ 没有残余

2使用Regedit,逐个删除hao123的注册表键值

Regedit→查找hao123的项,键,值

PChunter-注册表→ 对照的着一个一个删掉

→重启

→检查 Regedit 是否还有再生的hao123protect

→ 没有残余

3删除360安全卫士,测试在无360安全卫士的压制下,是否还有活跃的hao123protect及其进程

→重启

→ 检查 Regedit 是否还有再生的hao123protect

→ 没有残余

搞定

问题和回答已收录至

Win7软件问题调查小分队 - 专题 - 简书

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,639评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,277评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,221评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,474评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,570评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,816评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,957评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,718评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,176评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,511评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,646评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,322评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,934评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,755评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,987评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,358评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,514评论 2 348

推荐阅读更多精彩内容