谷歌浏览器首页被篡改，被耗了两天

笔记本电脑：联想拯救者

原因：头一天晚上通过网页看了个电影，结果屏幕有个黑屏框一闪而过，貌似运行了一个批处理，当时感觉有点诧异，视频有毒？ 到时临近12点了，没时间细查，想想应该没那么背吧，我电脑了本运行了联想自带安全管家，就没多想洗洗睡了。结果第二天到公司时，打开谷歌浏览器时，主页被改成了：https://2345.com/?39837 ，乍一看，我去，还不如猛地一看，怎么变了主页2345这个网址了，当时想坏了，中毒了，浏览器被劫持了

变成这个了

一直以为自己中毒了，然后网上各种搜索，什么浏览器被劫持、主页变成2345网址什么的，一搜一大片，还有几个时间也是新的，还以为什么大面积中毒呢

结果首先按度娘里找的，看快捷方式、注册表什么的，依样来了个遍，不行，没有效果，然后有说升级浏览器的，好吧，升级一次，结果依旧，不知道是不是旧版本进程被占了，连旧版的文件都没删掉。

真不想为了这个重做系统，有用户说替换文件名，让病毒找不到这个文件就好， 就此也尝试一下，结果还真行

但这个治标不治本，连好多其他关联的快捷方式都需要更改，编程软件中指向的浏览器地址也需要一起修改，对于强迫症来说，太麻烦了。

然后网上各种搜索，有说是中毒了，要使用杀毒工具中的系统修复，随后又安装了360、小红伞、火绒等杀毒软件，统统都全盘扫描，毛线都没查到，也有介绍说使用火绒的专杀小工具试试，结果也啥都没发现

根据谷歌相关配置：chrome://version ,看到命令行这里多了一个标识的2345的网址：https://discovery.lenovo.com.cn/home/2345/v1/c2

ps：其实这里已经体现出问题了，但我目前没明白过来，处理完之后才后知后觉

当时只看到2345这样的关键字，当时第一反应是，2345成联想旗下网址了？？

这时又查到一些资料说可以看看谷歌启动时看是不是被注入了，又看到上面的内容，就只能往钩子方向去想，刚好火绒有自带查看钩子相关功能

通过火绒的火绒剑查看进程时，确实发现这里会莫名地多了这串url在后面，网上说使用任务管理器去启动谷歌，是不会被转入主页的，埃，啥都要尝试一下，还真没有自动跳到2345去，这下更坚定了是被注入钩子了，于是乎不停的搜索钩子、查看钩子、修复钩子、哪里有可能被注入钩子等，都差点被摸熟了

查看钩子能看到是被explorer钩子启起来的

查看钩子能看到是被explorer钩子启动起来的

根据网上的描述，这里应该能查到一些奇怪的dll，所以在不停地找，打开对应的注册表、文件目录等找昨天那个时段可能被修改的文件，真是，我眼睛都看花，硬是没看到什么奇怪的dll，把可能奇怪的dll都去度娘了一边，还真是奇了怪了，啥dll都能找出说明来

一直折腾到晚上，快要放弃时，突然搜到火绒论坛上有类似情况的人好多

看到相关问题都是加他们QQ，他们远程处理之类的，当发完贴，再看看其他帖子时，这时救星出现了

顿时无语了，打开联想电脑管家-浏览器防护

顿时，扑街，我丢，这里还真是

全部关闭后，再重新打开谷歌，顿时清净了

尝试了N中方式，总算解决了，着实被坑了，总结：

1、替换快捷方式法， 黑客技术也会随着时代发展，这种方式已经无效

2、更改谷歌名称法，可行，但对于强迫症总感觉别扭

3、更改命令行，chrome://version 命令行复制出来去掉网址覆盖快捷方式的目标，尝试过，无效，也只能对付低级别注入

4、使用谷歌安装目录的 chrome_proxy.exe 清理并重置，然后替换快捷方式，也无效

5、谷歌浏览器设置自定义主页，无效

6、卸载2345相关的软件，如毒霸、2345看图王等，但我电脑没有安装这类软件

7、杀毒软件，360、小红伞、火绒，都无法查出来，可能我电脑根本就没毒（嘻嘻~~~）

网上搜索到，这种注入操作完全可以绕过杀毒软件，包含火绒，所以还是不要裸奔上网

8、设置hosts法：没有尝试过，但网上也有相关资料，打开浏览器清除所有cookie、缓存等，再将被劫持的网址设置在hosts文件里，如 12x.xxx.xxx.xxx 2345.com ，重新打开浏览器

这时会出现您的网址不是安全的，点击继续前往，就会出现浏览器修复的主界面（有兴趣的朋友可以试试）

9、使用火绒剑确实能查到一些很多对象，也能帮着优化一些性能，但不建议这么操作，弄不好电脑都要崩溃，可以去发帖寻求专业人士的帮助

想起昨天那个黑框到底是什么，是不是那个导致了我的联想管家自动设置了呢，我特意查了下那个时间段的事件

看了半天也没查到啥，白瞎忙活