浏览器首页被劫持为http://hao.169x.cn/的修复方法

转载自：http://blog.sina.com.cn/s/blog_8be14f360102vyrc.html

问题描述：

（1）电脑内安装的 QQ 浏览器、Chrome 浏览器、Internet Explorer 浏览器等多款浏览器的首页都变成了 http://hao.169x.cn/ ，然后跳转到 hao123；

（2）发现浏览器的快捷方式中的“目标”中被追加了一串 http://hao.169x.cn/ ，手动删除这些内容后，下次开机会恢复回来；

（3）尝试了网上的一些解决办法，例如禁用 Windows激活软件的服务（如 KMS 或 OEM 等），或者使用各类软件管家软件禁用了某些任务计划，然而这些服务/计划并不存在或者已经禁用了，从而导致问题仍然无法彻底解决。

解决办法：

（1）从 http://pan.baidu.com/s/1qXPVXec 下载并安装wmi tool；

（2）从开始菜单依次打开WIM Tools -> WIM Event Viewer，打开后如下图示。单击左上角按钮。

（3）接下来可能出现下图所示界面。如有，点击下图中圈选的按钮，否则将直接出现（4）中界面：

（4）在下图界面中单击“Connect”按钮：

（5）在弹出窗后中单击“OK”按钮：

（6）单击“root”前加号，展开后选中“CIMV2”，结果如图示：

（7）在接下来弹出的对话框中选择“OK”：

（8）进入了下图所示界面，单击__EventFilter前加号，得到如下结果：

（9）双击名为上图中选中的项，单击下图所示“Script Text”行“Value”列对应的单元格并仔细浏览，能够发现hao.169x.cn的踪迹：

如果将该单元格中内容复制出来，可能得到如下内容：

（10）返回步骤（8），右击（8）中选中项，选择“Delete instance”后关闭该窗口：

（11）至此，算是找到了问题的根源，但是之前已经造成的破会仍需要手动修复，也就是需要手动修复被篡改的浏览器快捷方式。各种浏览器的修复方式相同，在此以Internet Explorer的修复为例，修复其他浏览器也是通过修改快捷方式的办法实现。

从开始菜单找到Internet Explorer，右击该快捷方式，在“快捷方式”选项卡的“目标”一行中删除（如果有）http://hao.169x.cn开头的一串文字，如下图所示。然后“确定”。

（12）最后，建议使用常见的电脑管家/安全助手类的软件进行全盘扫描，以实现彻底清除木马病毒的目的。