记录一次浏览器主页被劫持

事情要从使用某激活工具说起，对于我们很多用户来说使用激活工具激活系统或软件都是很平常的事情。

所以我也是使用某工具之后，打开浏览器之后发现主页会自动跳转到hao123。

一般来说浏览器主页劫持不外乎几种方式：

1、修改浏览器默认主页地址

 

2、修改快捷方式目标属性，在目标地址后添加网页地址

 

当然这次我遇到的情况不属于上面两种，会更复杂一些。

首先也是查阅了很多帖子，发现可以使用 ProcessExplorer 这个工具来查看被劫持浏览器的一些详细信息

 

 上图可以看出，我的chrome浏览器command line这一栏的最后多了一个网页地址，也就是本次事件的罪魁祸首。

同时也可以使用WMI Tools来查看相关信息。

其实在解决劫持问题之前，最初我是怀疑浏览器注册表被篡改，导致主页被劫持到hao123。确实我在注册表中查找到hao123相关注册表信息，但是发现刚删除的注册表又被重新写入

所以后台肯定有木马病毒在写这些注册表信息

那么到此我们也就知道了，浏览器command line信息被篡改，以及木马在写入hao123注册表信息。

这里我使用（https://www.virscan.org/language/zh-cn/）扫描激活工具，报告结果是安全，且报告日志也没输出，没法分析激活工具做了哪些事情。

这里我使用的是火绒恶意木马专杀工具（http://bbs.huorong.cn/thread-18575-1-1.html），对电脑进行全盘扫描，清理恶意木马。

重启电脑之后，再进入注册表删除hao123相关注册表记录，到此问题解决。