浏览器被hao123恶意劫持时,需依次执行五步清除:一、清理快捷方式目标路径;二、启用浏览器主页锁定;三、删除WMI脚本劫持;四、清除隐藏劫持目录;五、用火绒专杀工具深度清理。
如果您启动浏览器时自动跳转至hao123.com,且无法通过常规设置修改主页,则说明浏览器已被恶意软件深度劫持,可能涉及快捷方式篡改、注册表写入、WMI脚本注入或后台守护进程持续重写。以下是多种可立即执行的清除方法:
一、强制清理浏览器快捷方式目标路径
绝大多数hao123劫持行为通过在快捷方式“目标”字段末尾追加URL实现,该方式优先级高于浏览器内部设置,必须首先清除。
1、右键点击桌面或任务栏上的浏览器快捷方式,选择“属性”。
2、切换至“快捷方式”选项卡,定位“目标”文本框中的内容。
3、确认是否存在形如"C:\Program Files\Google\Chrome\Application\chrome.exe" http://www.hao123.com的结构。
4、仅保留引号内的完整程序路径,彻底删除引号外所有空格及http://开头的网址部分。
5、点击“应用”,再点击“确定”保存更改。
二、启用浏览器原生主页锁定机制
QQ浏览器、Edge等主流浏览器提供主页地址写保护功能,启用后可阻止插件或外部程序覆盖设置,需配合手动重置使用。
1、打开浏览器,点击右上角三横线或三点菜单,进入“设置”。
2、在左侧导航中选择“常规设置”或“启动、主页和新标签页”。
3、将“主页地址”修改为https://www.qq.com或about:blank。
4、勾选“启动时打开主页”并查找界面中是否存在“锁定主页”按钮。
5、点击“锁定主页”并按提示完成管理员权限确认,系统将写入受保护配置项。
三、扫描并清除WMI持久化劫持脚本
部分高级劫持利用WMI事件订阅(如ActiveScriptEventConsumer)实现每小时自动重建快捷方式,常规修复无效,必须定位并删除对应脚本。
1、下载并安装WMI事件查看器工具wbemeventviewer.exe(官方可信版本)。
2、运行工具,点击左上角“Register for events”,连接命名空间root\CIMV2。
3、在事件列表中查找名称含“VBScniptLKKids_filter”或“scrcons”的ActiveScriptEventConsumer实例。
4、右键查看其“Script Text”属性,确认内容是否包含hao123跳转逻辑(如http://hao642.com/?r=...)。
5、右键该实例,选择“Delete instance”彻底移除WMI劫持订阅。
四、定位并删除隐藏劫持进程目录
某些劫持程序以伪装文件夹形式驻留系统,如qqwie32、qqsafe123等,常位于Program Files根目录下,具备隐藏属性与自启动能力。
1、打开文件资源管理器,进入C:\Program Files\目录。
2、启用“查看”→“显示/隐藏”→勾选“隐藏的项目”,刷新目录。
3、查找名称异常的文件夹,例如qqwie32、qqsafe123、hao123updater等。
4、右键该文件夹,选择“属性”,取消勾选“只读”与“隐藏”属性。
5、使用Shift+Delete组合键永久删除该文件夹,不经过回收站。
五、调用火绒安全卫士专杀模式深度清理
火绒内置的“浏览器保护”模块可识别并拦截已知劫持行为,其“专杀工具”支持驱动级扫描,对注册表、服务、计划任务等深层位置进行针对性查杀。
1、启动火绒安全卫士,点击主界面右下角“更多工具”。
2、在工具箱中选择“专杀工具”,等待病毒库更新完成。
3、勾选“浏览器劫持专杀”与“顽固木马清除”两项扫描模式。
4、点击“开始扫描”,全程勿关闭火绒主程序或中断扫描进程。
5、扫描完成后,勾选全部标红项(含注册表项、服务名、WMI类),点击“立即处理”并重启系统。
