应优先检查浏览器快捷方式目标路径是否被篡改,再依次重置主页设置、卸载恶意扩展、清除系统级PUP进程、修改注册表主键值。
如果您启动浏览器后主页自动跳转至“好123”(hao123.com或其变体域名),且常规设置修改后仍反复复现,则表明劫持已深入快捷方式、扩展层、注册表或系统进程。以下是多种可独立生效的清除路径:
一、修正浏览器快捷方式目标路径
恶意程序常在桌面或任务栏快捷方式的“目标”字段末尾硬编码跳转参数,使每次点击均绕过浏览器设置强制加载“好123”,此为最常见且优先级最高的突破口。
1、右键点击桌面或任务栏上的浏览器快捷方式,选择“属性”。
2、切换至“快捷方式”选项卡,定位“目标”文本框中的完整内容。
3、确认是否存在形如"C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.hao123.com的结构。
4、删除引号外所有空格及http://开头的网址部分,仅保留带英文引号的原始可执行文件路径。
5、点击“应用”,再点击“确定”保存更改。
6、关闭所有浏览器窗口,双击该快捷方式重新启动并观察主页是否跳转。
二、重置浏览器主页与启动页配置
劫持行为可能仅覆盖浏览器界面层设置项,未侵入系统底层,此时直接重写主页地址并禁用第三方导航绑定即可阻断前端跳转链路。
1、打开被劫持的浏览器,点击右上角菜单按钮(三点或三横图标)。
2、进入“设置”或“选项”,在左侧导航中查找“启动时”“主页”或“开始页”相关入口。
3、将“启动时”设为“打开新标签页”,或勾选“打开特定网页”后手动输入https://www.bing.com等可信地址。
4、检查“新标签页”设置,确保未绑定至第三方导航站;若有异常地址,全部清除。
5、关闭所有浏览器窗口,重启验证。
三、卸载高危浏览器扩展与插件
伪装成“导航增强”“网速优化”的恶意扩展具备持续监控主页设置的能力,即使重置也会自动恢复劫持状态,必须彻底移除。
1、在地址栏输入chrome://extensions/(Chrome/Edge)或about:addons(Firefox)进入扩展管理页。
2、逐条查看已启用扩展的名称、开发者和权限声明。
3、禁用并移除所有名称含“好123”“2345”“hao123”“导航助手”“极速”“超级”等关键词的扩展。
4、重点排查权限描述中出现“读取和更改您在所有网站上的数据”的扩展,此类权限极易用于主页劫持。
5、重启浏览器,确认主页是否恢复正常。
四、扫描并清除系统级恶意进程
部分顽固劫持由后台驻留的PUP(潜在有害程序)驱动,例如locker32.exe、locker64.exe或qqwie32文件夹内组件,需借助专业工具深度清理。
1、按下Ctrl+Shift+Esc打开任务管理器,切换至“详细信息”选项卡。
2、查找进程列表中是否存在locker32.exe或locker64.exe。
3、若存在,下载PCHunter Free(注意匹配32/64位系统),以管理员身份运行。
4、在进程列表中右键对应进程,选择“结束进程时删除文件”。
5、再次右键该进程,选择“定位到PC Hunter文件管理器”,进入其所在目录。
6、在右侧文件列表中全选相关文件(按住Shift点击首尾),右键选择“删除后阻止文件再生”。
7、在左侧目录树中找到类似C:\Program Files\qqwie32\的隐藏路径,右键该文件夹选择“强制删除”。
8、重启电脑后立即验证浏览器主页状态。
五、修改Windows注册表关键主键值
IE及部分旧版Edge/Chrome会读取注册表中Internet Explorer主键作为默认主页来源,劫持程序常篡改此位置实现持久化控制。
1、按Win + R调出运行框,输入regedit并回车。
2、导航至路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main。
3、在右侧窗格中,双击“Start Page”和“Default_Page_URL”两项。
4、将数值数据修改为期望的主页网址(如https://www.google.com),点击确定。
5、在注册表编辑器顶部菜单选择【编辑】→【查找】,输入hao123,逐条检查并删除所有确认为劫持项的字符串值。
