浏览器主页被 2345/hao123 劫持彻底清除方案

浏览器主页劫持是国内流氓软件最常用的变现手段。流氓软件会通过篡改桌面快捷方式目标路径、修改系统注册表项、或者在后台安装恶意驱动来强行锁定浏览器首页为 2345、hao123 等导航站。

症状表现

• 双击桌面上的 Edge、Chrome 或 360 浏览器图标，打开后主页不是自己设置的百度或空白页，而是被强行导航到带有大量广告的恶意网址。
• 在浏览器的设置中修改了“启动时打开特定网页”，但完全不起作用。
• 即使重装浏览器，主页依然被锁定。

排查步骤

1. 检查快捷方式属性：右键点击桌面的浏览器图标，选择“属性”，查看“目标（Target）”输入框。如果路径末尾（即 ...chrome.exe" 后面）带有一串带有 http 的网址链接，说明快捷方式已被篡改劫持。
2. 测试直接运行源程序：前往浏览器的实际安装路径（如 C:\Program Files\Google\Chrome\Application），直接双击运行 chrome.exe。如果直接运行源程序主页正常，说明仅桌面快捷方式被劫持。
3. 检查浏览器插件与扩展：查看浏览器已安装的扩展程序列表，是否有可疑的未知扩展。

解决方案

• 第一步：修复并重建快捷方式：
  1. 打开浏览器属性，如果看到“目标”里有小尾巴网址，直接将其手动删掉并保存。如果提示“无管理员权限”，先删除桌面的快捷方式图标。
  2. 找到浏览器的实际安装目录，右键点击 chrome.exe 等源程序，选择“发送到” -> “桌面快捷方式”。
• 第二步：清理系统 WMI 劫持和任务计划（高级修复）：
  • 流氓软件会通过注册表或 WMI（Windows 管理规范）定时脚本反复篡改快捷方式。
  • 打开 火绒安全 或其他靠谱的安全防护软件，利用其内置的“专杀工具”或“系统修复”功能，一键扫描并清理系统 WMI 劫持服务。
• 第三步：修改注册表锁定值：
  1. 按 Win + R 输入 regedit 打开注册表编辑器。
  2. 依次导航到以下路径：
     • HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Main
     • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  3. 检查是否有 Start Page 或 Default_Page_URL 被强行锁定为了恶意导航站网址，双击将其修改为您想要的网址或直接删除。