浏览器主页被篡改为hao123解决办法

前几天，因为帮一个老师上传资料的网站，大部分文件都需要转成Flash上传，于是都网上找好用的Flash转换软件，结果……电脑中毒了！！！！！，而且还不止一种病毒，分别是“Html.Win32.Script.1500711”和“Virus.Win32.Ramnit.c”还有就是不知道什么名的而且杀毒软件也找不出来的浏览器篡改病毒。前两个杀毒软件能识别，由于电脑系统文件有一些被病毒感染了，我重装了系统。本以为重装系统后应该没问题。但这些病毒的感染能力比较强，已经感染了非系统盘的文件。腾讯管家技术员分析了Html.Win32.Script.1500711这种病毒的原理，详情见http://tieba.baidu.com/p/3429184229。想彻底的清除干净“Html.Win32.Script.1500711”和“Virus.Win32.Ramnit.c”需要在安全模式下进行全盘杀毒。

剩下的就是浏览器主页被篡改的问题，杀毒软件能识别出浏览器快捷方式出问题了，而且可以修复，但重启后又还是被篡改了，很容易找到是浏览器快捷方式这里出了问题。浏览器快捷方式的属性如下图

可以看到目标程序后面接着又一串网址，这个网址打开后会跳转到hao123。至于为什么接一串网址就会导致主页被篡改。这根Windows程序打开的函数有关。

这是Windows打开程序的函数，可以看到该函数第二个参数是一个命令行参数。浏览器打开将去访问这个目标地址，详细介绍见https://msdn.microsoft.com/en-us/library/windows/desktop/ms682425(v=vs.85).aspx。现在浏览器为什么一打开就会去访问hao123的原因找出来了，只要把那个网址删掉就可以，但这样改不是根治的办法，因为重启后那个网址又会在那里，我发现Windows刚启动浏览器的目标后面还是没有接那个网址的，但大概30秒后这个网址就会被加上。于是乎看看开机启动项，发现不了什么异常。在下载了ProcessMonitor，看看那个进程在搞怪。重启电脑，一开机立即运行ProcessMonitor软件，大概30秒后发现下图的一堆进程

到现在最终的问题找出来了，原来是小马破解这货的问题，这货见快捷方式就去折腾一下。对它无语。去图片中的目录下把OEM8.EXE删掉，这个问题才算是彻底的解决。