解决火狐和Google Chrome浏览器默认主页被恶意篡改的方法
今天在网上下载软件，无意间被忽悠啊，下载了广告上的软件，现在的下载网站实在是垃圾，用一些广告来诱导用户下载，广告上显示着很大的点击下载，其实真正的下载地址隐藏的很小，然后你点击广告网站就有钱赚了，真想骂娘，太无耻。更可恶的是下载了广告上的软件我并没有发现有什么异常，正常安装后问题就来了，需要安装的软件并没有安装，然后电脑被恶意修改，这里我遇到的问题就是火狐和Google Chrome浏览器默认主页被恶意篡改，具体情况请往下看。
正常情况下火狐和Google Chrome浏览器的默认主页是很难被修改的，不像IE那样随意。可是这次奇怪的是我的IE被篡改后，我直接在Internet选项中将默认主页改回来就好了，可是在火狐和Google Chrome浏览器设置中怎么改打开还是显示的恶意网址，后来我发现IE并没有在桌面上建立快捷方式，而火狐和Google Chrome浏览器都建立了快捷方式，右击快捷方式属性后终于发现了问题所在，具体截图如下所示：
解决火狐和Google Chrome浏览器默认主页被恶意篡改的
从截图中不难看出，目标栏被修改了，里面多了这个默认主页的地址，那解决方法就简单了，把那个默认主页的网址删除就可以了，或者把整个快捷方式删除，去火狐和Google Chrome浏览器的安装目录重新建立快捷方式到桌面就好了。
& & 题外话：这次我被恶意下载的软件叫什么&便压&，是一个压缩软件，建议大家别用此款压缩软件，各种病毒特征，压缩软件还是推荐WinRAR。
标签(Tag):
------分隔线----------------------------
------分隔线----------------------------chrome和firefox新建标签页的时候，会自动输入这个地址：&br&&a href=&///?target=http%3A///%3Fp%3DmKO_AwFzXIpYRaHdGKBUTwkzwGbNf1VnD-XPVMa1mP1m6MevyyMu5JBVN7kcm8wJn1V_grgHdPHdzzhG0yI0GSJNHDo2grzbGsClib8LqMj4RwPinZSuJm6H2SGlg9Rbwa7T40iLXMxOTm4Z52RSAKFGYxpQTChNg71Ad_mNAdDq--3YZe6PxiM8YQ%2C%2C%26q%3D& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/?&/span&&span class=&invisible&&p=mKO_AwFzXIpYRaHdGKBUTwkzwGbNf1VnD-XPVMa1mP1m6MevyyMu5JBVN7kcm8wJn1V_grgHdPHdzzhG0yI0GSJNHDo2grzbGsClib8LqMj4RwPinZSuJm6H2SGlg9Rbwa7T40iLXMxOTm4Z52RSAKFGYxpQTChNg71Ad_mNAdDq--3YZe6PxiM8YQ,,&q=&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&{searchTerms}&br&然后迅速跳转到这个页面：&br&&a href=&///?target=http%3A///%3Fst%3Ddn%26q%3D& class=& external& target=&_blank& rel=&nofollow noreferrer&&&span class=&invisible&&http://&/span&&span class=&visible&&/?&/span&&span class=&invisible&&st=dn&q=&/span&&span class=&ellipsis&&&/span&&i class=&icon-external&&&/i&&/a&&br&这个网站是这个样子：&br&&img src=&/f618e7a28d3edc2a1cb69_b.png& data-rawwidth=&1098& data-rawheight=&649& class=&origin_image zh-lightbox-thumb& width=&1098& data-original=&/f618e7a28d3edc2a1cb69_r.png&&而且，chrome地址栏默认搜索引擎也一直是这样：&br&&img src=&/cefceea8cf46f_b.png& data-rawwidth=&943& data-rawheight=&634& class=&origin_image zh-lightbox-thumb& width=&943& data-original=&/cefceea8cf46f_r.png&&改了重启chrome就会自动改回来，删了那个WebSearch也没用，chrome自带的地址栏自动填充根本没法用！！火狐也是这样，但是ie会提示以下“某个未知的程序改主页blabla。。。”可以阻止。。。&br&&br&系统是win10，这个东西两个月前中过一次，后来好了，现在又开始这样了！！&br&&br&不要跟我说这种问题自己百度什么什么的，百度没有，查不到！！&br&google上的方法也都试了一遍，没用！！！&br&各种360金山我都用了，也没用！！！&br&adwcleaner也没用！！！！！&br&走投无路才来这里求助的，恳求大家帮帮我。。。
chrome和firefox新建标签页的时候，会自动输入这个地址：{searchTerms}然后迅速跳转到这个页面：这个网站是这个样子：而且，chrome地址栏默认搜索引擎也一直是这样：…
昨天刚刚遇到这个问题，已解决。我是从外网下载Microsoft Toolkit时被强行篡改了浏览器主页。IE、Firefox、Chrome无一幸免。杀毒软件也查不出来。网上有的方法是重置浏览器，其实没这个必要，重置后反而会把浏览器里的重要东西删掉。简单说下解决办法：1.下载Adwcleaner。是国外的一个查杀广告的软件，免安装，只有3MB左右。进入之后点击Scan和clean就可以了。（会要求重新启动）2.修改浏览器属性的目标。右键浏览器快捷方式，选属性。把快捷方式里的目标的后缀删掉（我的是%SNF%）3.把注册表环境变量里名为“SNP”“SNF”的项目都删掉。上述步骤可以不按顺序来。我的问题就是这么解决的。而且Adwcleaner简直是神器啊。扫描后发现了一大堆不知什么时候安插在电脑里的广告程序和条目。清理完之后，明显感觉火狐浏览器的开启速度快了不少！希望能有帮助，帮大家省点时间。
昨天下了些软件也被捆绑了，软件卸载后没注意就关机睡觉，谁知道今天起来发现ie，谷歌跟火狐浏览器首页都被指向了另外一个地址，跟楼主一样，上ie看了下Internet选项默认主页却还是我设置的。搜了一大堆问题，最后终于解决了，下面是我具体的解决过程，希望对你有帮助：&br&
你可以参考下这个 &a href=&///?target=https%3A//www.ptt.cc/bbs/AntiVirus/M..A.23D.html& class=& wrap external& target=&_blank& rel=&nofollow noreferrer&&[求救] feed.snapdo 首頁綁架 4/28更新&i class=&icon-external&&&/i&&/a& 。根据作者的 sassisa 所提供的方法很明显应该是我们的注册表信息被修改了，我尝试着按着作者给的建议直接在注册表搜 feed.snapdo 等之类跟捆绑地址相关的信息，都搜索不到。最后我是在ie的属性设置里面发现 &b&%SNP%&/b& 这个东西（下图红色方框内），接着我又去chrome的属性设置里面也看到了这个，火狐的也发现有这个：&br&&img src=&/c8a75c443b9a48dd9ef55f_b.jpg& data-rawwidth=&364& data-rawheight=&248& class=&content_image& width=&364&&&br&在目标的最后面多了个 &b&%SNP% &/b&，感觉看起来有些跟捆绑地址有点像，我尝试着在注册表搜索这个 &b&SNP &/b&，前面搜出了很多接近&b& SNP &/b&的东西但是都不是我们想要的(我没有用全字匹配)：&br&&img src=&/89d6eb9a20b495bb9a30d_b.png& data-rawwidth=&843& data-rawheight=&311& class=&origin_image zh-lightbox-thumb& width=&843& data-original=&/89d6eb9a20b495bb9a30d_r.png&&最后在 &b&environment &/b&这个属性里面找到了 &b&SNP &/b&，以及另外一个跟 &b&SNP&/b&有关的 &b&SNF &/b&：&br&&img src=&/70ed3ab1cd38151e1cebbb9fc9869f0c_b.jpg& data-rawwidth=&677& data-rawheight=&377& class=&origin_image zh-lightbox-thumb& width=&677& data-original=&/70ed3ab1cd38151e1cebbb9fc9869f0c_r.jpg&&我打开 &b&SNP &/b&把值复制到浏览器地址栏：&br&&img src=&/4d5e0ecda0cfc1c2ed77a_b.jpg& data-rawwidth=&1173& data-rawheight=&109& class=&origin_image zh-lightbox-thumb& width=&1173& data-original=&/4d5e0ecda0cfc1c2ed77a_r.jpg&&图中蓝色选中的是我浏览器首页被绑定指向的地址，下面红色框中是我在注册表中搜索到的 &b&SNP &/b&的值，可以确认的说这个 &b&SNP &/b&就是我们要找的，在注册表中直接把 &b&SNF &/b&跟 &b&SNP &/b&给删了就可以了然后重启。&br&重启后打开&b&chrome&/b&，果然流氓地址不见了：&br&&img src=&/a376dcb7abfcb50c098a9afed9836b1f_b.jpg& data-rawwidth=&1364& data-rawheight=&471& class=&origin_image zh-lightbox-thumb& width=&1364& data-original=&/a376dcb7abfcb50c098a9afed9836b1f_r.jpg&&&br&ps1：我这个是environment里面找到的，所以我觉得其实应该是我们本机的环境变量被修改了（只是推测，我也没去确认）。&br&&br&ps2：第一次在知乎回答问题，可能姿势不够完美，多多包涵。
昨天下了些软件也被捆绑了，软件卸载后没注意就关机睡觉，谁知道今天起来发现ie，谷歌跟火狐浏览器首页都被指向了另外一个地址，跟楼主一样，上ie看了下Internet选项默认主页却还是我设置的。搜了一大堆问题，最后终于解决了，下面是我具体的解决过程，希望…
所有劫持主页的方法，最终的结果都是会改掉浏览器进程启动的命令行。&br&&img src=&/a648b8c80fb7311d2ccb30c9f79c88d4_b.png& data-rawwidth=&903& data-rawheight=&329& class=&origin_image zh-lightbox-thumb& width=&903& data-original=&/a648b8c80fb7311d2ccb30c9f79c88d4_r.png&&&br&就是图中“Command Line”那一项，题主可以试试在命令行里输入chrome的路径，在随便加个网址作为参数打开，那个网站就会变成Chrome的启动页面。&br&嗯，所有的劫持方式都绕不过这一关。&br&&ul&&li&有的很拙劣，只改掉了注册表里跟IE首页有关的键值&/li&&li&有的很偷懒，只是把网址加到了IE和Chrome快捷方式的启动参数里，改回来就好了&/li&&li&有的很变态，会给你Chrome安装插件，而且有些设置还会云同步（如果登陆了Google账户的话），必须到Chrome网站清空自己同步的数据才行&/li&&li&有的很邪恶，Hook了系统的CreateProcessW这个API，这种案例我见过一次，好像是在知乎上看到的，最后查明是快播干的，上面截图也源自那条答案，这种情况几乎不留丝毫痕迹。原答案的作者验证从任务管理器启动chrome时不会被劫持入手，推断是explorer.exe被注入了可疑DLL，果然筛出了快播的一个DLL，然后调试explorer点开chrome的操作，果然是CreateProcessW这个调用被劫持了…而且是汇编级的Inline Hook…不过现在的Windows不再会被这样劫持了&/li&&/ul&有的时候你把首页改过来他还能在改回去，这时候就要筛一筛后台进程以及各种加载项了，用Autoruns这个软件，每个没有数字签名的DLL、EXE都要过一遍，记住启动项不仅仅是任务管理器里展示给你的那些。&br&没啥好方法，做劫持的人都提前想过你会怎么破掉它。真要碰上刚才说的最后那种情况，很有可能你直到下决心重装系统之前都想不通它到底是怎么劫持你首页的。所以讲真，别关UAC，谨慎给权限。出了UWP版的软件，就尽量用UWP的版本。
所有劫持主页的方法，最终的结果都是会改掉浏览器进程启动的命令行。 就是图中“Command Line”那一项，题主可以试试在命令行里输入chrome的路径，在随便加个网址作为参数打开，那个网站就会变成Chrome的启动页面。 嗯，所有的劫持方式都绕不过这一关。 有…
已有帐号？
无法登录？
社交帐号登录
不会跳舞的工科生不是好单身狗【日常水】刚刚被国外流氓软件强奸了...._firefox吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：70,698贴子：
【日常水】刚刚被国外流氓软件强奸了....收藏
今天晚上我下载了一个外文小游戏，因为知道百度的尿性所以谨慎地找到官网下载在安装的时候发现有几个选项，是什么toobar什么的，这时，微软自带的windows defender 弹出软件说是间谍软件，隔离后重启，我又换了一个版本重新安装，这次一路按到底（有些单词不太懂...）结果尼玛，瞬间多了4，5个流氓软件，什么youtube什么的，还有一个叫什么cross浏览器完全把chrome的（说的图标啊快捷方式什么的）给完全霸占了，图鳔还是个山寨chrome的（图标还丑炸）我只是欲哭无泪。手动卸载，尼玛居然完全卸载不了操！！最后逼我用大杀器total卸载才可以强制给卸载的，我真是服了，外国尼玛也有流氓软件，额且流氓程度还不必国内的差在下真是服了目前的桌面镇那么问题来了，我虽然吧他给强力卸载掉了，可是总觉得在硬盘的某个角落隐藏着一些没删干净的东西，在想要不要重装，我这个人有精神洁癖可受不了啊！
下载百度浏览器,尽享爱奇艺VIP,百度文库VIP,百度云会员奖等特权!还有一键换色,动态截图,即搜即得等智能功能,让页面浏览更快,更流畅,更稳定!
升级激活的随便重装吧
我装国外小游戏也遇到过，真他妈坑
全世界都有流氓
洁癖居然不用沙盘不开影子系统
linux大法好
在chrome吧你也这样说！
你还好，我有次下载天降雄狮，是个exe~我机智的用沙盘打开了…然后鼠标被锁，管家啊，卫士啊什么的全出来了，还有什么影音之类的，乱七八糟，7，8个吧…不记得了，都把我沙盘给卡没掉了…还好没漏出来
国内软件制作者出国了————来自 Windows 39.0
(ง •̀_•́)ง ————小尾巴都不知道写什么好了 (ง •̀_•́)ง
选购firefox手机,来「天猫手机馆」品牌直营,正品保障,全国联保,超值实惠!「天猫手机馆」好货不限量,分期免息,大牌精品,正品低价服务优!
国外一直有流氓。。我好多次遇到！特别是免费软件会有流氓，但是很少见正版也有流氓。还好，经常放在沙盘玩。 ——我喂自己袋盐&&Mozilla/5.0 (Windows NT 10.0; WOW64; rv:40.0) Gecko/ Firefox/40.0
国外流氓也不见得少，只是人家用英文，我们国内用中文罢了
让你下载簧片
喜大普奔　✎﹏﹏　楼主的贴子11小时16分钟有37条回复
真（）是（）可（）怜（）
你可以选择恢复点恢复，和重置差不多的速度，但无需重装软件
用微软的一个什么流氓软件卸载工具试试
让你下载簧片
登录百度帐号推荐应用
为兴趣而生，贴吧更懂你。或后使用快捷导航没有帐号？
重定义Modern UI,打造完美Windows全新体验
查看: 2508|回复: 30
积分106最后登录精华0阅读权限20主题UID4363043帖子PB币58 威望0 贡献0 技术0 活跃492
PCBETA Milestone, 积分 106, 距离下一级还需 94 积分
UID4363043帖子PB币58 贡献0 技术0 活跃492
改注册表什么的都试过了 没用
最主要的是 我啥都没干就被改了首页 CAO
难道我又要重装系统吗...有没有人写个小工具
积分1250最后登录精华0阅读权限40主题UID532028帖子PB币3889 威望5 贡献0 技术37 活跃1076
PCBETA Beta2, 积分 1250, 距离下一级还需 250 积分
UID532028帖子PB币3889 贡献0 技术37 活跃1076
利益驱使啊，2345给装机流氓发工资了，我妹妹买了个笔记本回来，正版的系统居然被上2345全家桶。
&在system32里的drver文件夹里，有个奇怪的驱动，用鼠标指向，显示为微软，但是签名却是上海的某软件公司。删除之，马上好。&
积分106最后登录精华0阅读权限20主题UID4363043帖子PB币58 威望0 贡献0 技术0 活跃492
PCBETA Milestone, 积分 106, 距离下一级还需 94 积分
UID4363043帖子PB币58 贡献0 技术0 活跃492
powerfull 发表于
利益驱使啊，2345给装机流氓发工资了，我妹妹买了个笔记本回来，正版的系统居然被上2345全家桶。
我这个还是前几天重新装的系统 好久天都没动它 然后今天莫名其妙QQ没了 迅雷没了 chrome还被篡改了地址 真的是气
积分3774最后登录精华0阅读权限210主题UID1916219帖子PB币2442 威望392 贡献0 技术310 活跃3260
UID1916219帖子PB币2442 贡献0 技术310 活跃3260
再找一个流氓如360，修复后卸载。千万别用金山，请流氓容易撵流氓难
积分204最后登录精华0阅读权限30主题UID156113帖子PB币2153 威望0 贡献0 技术0 活跃302
PCBETA Beta1, 积分 204, 距离下一级还需 296 积分
UID156113帖子PB币2153 贡献0 技术0 活跃302
本帖最后由 johnnypc 于
20:29 编辑
去除2345主页导航
/article/8ebacdf0db7cef.html
/article/77b8dc7fca096e6174eab6d3.html
<p id="rate_0403" onmouseover="showTip(this)" tip="收藏了，谢谢了&PB币 + 1
" class="mtn mbn">
积分1065最后登录精华0阅读权限40主题UID3191782帖子PB币6826 威望0 贡献0 技术0 活跃904
PCBETA Beta2, 积分 1065, 距离下一级还需 435 积分
UID3191782帖子PB币6826 贡献0 技术0 活跃904
，谢谢分享
积分1217最后登录精华0阅读权限0主题UID682716帖子PB币2923 威望0 贡献0 技术0 活跃671
头像被屏蔽
UID682716帖子PB币2923 贡献0 技术0 活跃671
提示: 作者被禁止或删除 内容自动屏蔽
积分30最后登录精华0阅读权限10主题UID3127573帖子PB币133 威望0 贡献0 技术0 活跃69
PCBETA Alpha, 积分 30, 距离下一级还需 20 积分
UID3127573帖子PB币133 贡献0 技术0 活跃69
别从百度下chrome就可以了，百度篡改了chrome浏览器，自己去官网，或者在别的网站下
积分22最后登录精华0阅读权限10主题UID1155855帖子PB币2697 威望0 贡献0 技术0 活跃452
PCBETA Alpha, 积分 22, 距离下一级还需 28 积分
UID1155855帖子PB币2697 贡献0 技术0 活跃452
2345已经给我发了上千的工资了
积分758最后登录精华0阅读权限40主题UID4787678帖子PB币444 威望33 贡献0 技术0 活跃343
PCBETA Beta2, 积分 758, 距离下一级还需 742 积分
UID4787678帖子PB币444 贡献0 技术0 活跃343
此ID已经过期 发表于
2345已经给我发了上千的工资了
楼上的禽兽不如
积分82最后登录精华0阅读权限20主题UID4268132帖子PB币138 威望5 贡献0 技术3 活跃538
PCBETA Milestone, 积分 82, 距离下一级还需 118 积分
UID4268132帖子PB币138 贡献0 技术3 活跃538
mychrome弄个绿色版，一般都从新浪上下
积分2041最后登录精华0阅读权限50主题UID4757969帖子PB币6953 威望0 贡献0 技术8 活跃527
PCBETA RC1, 积分 2041, 距离下一级还需 959 积分
UID4757969帖子PB币6953 贡献0 技术8 活跃527
积分82最后登录精华0阅读权限20主题UID4775811帖子PB币170 威望5 贡献0 技术14 活跃132
PCBETA Milestone, 积分 82, 距离下一级还需 118 积分
UID4775811帖子PB币170 贡献0 技术14 活跃132
哈哈哈上当了吧&&2345全家桶 我表示 我只能笑笑
积分168最后登录精华0阅读权限20主题UID2893966帖子PB币105 威望5 贡献0 技术2 活跃334
PCBETA Milestone, 积分 168, 距离下一级还需 32 积分
UID2893966帖子PB币105 贡献0 技术2 活跃334
看看浏览器快捷方式属性，看有没有网址
(61.23 KB, 下载次数: 1)
22:35 上传
下载次数: 1
&这个最无耻，很多人想不到&
<p id="rate_8680" onmouseover="showTip(this)" tip="&PB币 + 1
" class="mtn mbn">
积分156最后登录精华0阅读权限20主题UID598027帖子PB币705 威望0 贡献0 技术0 活跃548
PCBETA Milestone, 积分 156, 距离下一级还需 44 积分
UID598027帖子PB币705 贡献0 技术0 活跃548
本帖最后由 lengrusong 于
17:01 编辑
保持良好的上网习惯很重要
积分78最后登录精华0阅读权限20主题UID4020257帖子PB币607 威望5 贡献0 技术0 活跃384
PCBETA Milestone, 积分 78, 距离下一级还需 122 积分
UID4020257帖子PB币607 贡献0 技术0 活跃384
JARK-1 发表于
看看浏览器快捷方式属性，看有没有网址
我一般都是这种情况
积分78最后登录精华0阅读权限20主题UID4020257帖子PB币607 威望5 贡献0 技术0 活跃384
PCBETA Milestone, 积分 78, 距离下一级还需 122 积分
UID4020257帖子PB币607 贡献0 技术0 活跃384
JARK-1 发表于
看看浏览器快捷方式属性，看有没有网址
楼主试试这个方法
积分22最后登录精华0阅读权限10主题UID4599654帖子PB币0 威望0 贡献0 技术0 活跃125
PCBETA Alpha, 积分 22, 距离下一级还需 28 积分
UID4599654帖子PB币0 贡献0 技术0 活跃125
14F 正解！！！！
积分372最后登录精华0阅读权限30主题UID1019857帖子PB币1375 威望0 贡献0 技术62 活跃631
PCBETA Beta1, 积分 372, 距离下一级还需 128 积分
UID1019857帖子PB币1375 贡献0 技术62 活跃631
之前遇到过的一个问题，不知道对chrome是否也起作用。今天遇到个Win10下IE主页被锁定到2345的问题，说一下：用IE修改主页必须无效，再打开IE会被改回2345，经查注册表并无修改，使用组策略把IE主页锁定后，打开IE，还是先显示2345，然后再转跳到设置的主页，因此判定应该是注入修改，有程序在向系统不停的写入IE主页有关的设置，安装使用卡巴斯基杀毒，查到C:\Windows\System32\drivers文件夹里有一个Mslmedia.sys可疑驱动，使用杀毒软件将其删除，问题排除，IE主页恢复正常。有遇到相同问题的可以看看是否由该Mslmedia.sys驱动文件导致，这是我目前见到的比较高级的一种锁定2345主页的方法，类似于驱动精灵锁定金山主页的方法，无耻度五星！
积分67最后登录精华0阅读权限20主题UID4710777帖子PB币167 威望5 贡献0 技术0 活跃209
PCBETA Milestone, 积分 67, 距离下一级还需 133 积分
UID4710777帖子PB币167 贡献0 技术0 活跃209
现在的绑定主页真烦，重点还是不能更改
远景技术达人
Win10先驱者
远景智多星
8周年庆典勋章
有梦想有激情的年轻人，欢迎你的加入
Copyright (C) 2005-, All rights reserved
Powered by Discuz!&&沪ICP备号
请勿发布违反中华人民共和国法律法规的言论，会员观点不代表远景论坛官方立场。}