一行命令干掉Hao123

Author Avatar
LittleBlack 2月 01, 2020
  • 在其它设备中阅读本文章

本文仅适用于开始菜单快捷方式被劫持的情况。

如果不想听我废话请直接跳到 解决方案

发现过程

刚刚打开电脑,发现Chrome的首页变成了恶心的Hao123,于是我知道自己被劫持了。

然后打开Tor,结果Tor的主页也变成了Hao123!!! 这么嚣张的吗?

于是我立即想到了这个劫持方法一定非常基础,和浏览器配置文件什么的都没有关系,打开开始菜单里的快捷方式一看:

image-20200412200806264

卧槽。还是这么暴力。

仔细排查了一下进程,没有可以进程。那么这个应该是一次性的,不会给我改回去。我试着在注册表里面Ctrl+F搜了一下hao643这个键值,皇天不负有心人啊,我终于在\Software\Microsoft\Windows\CurrentVersion\UFH\SHC里面找到了一些被感染的键值。去网上查了一下,这个注册表项是用来暂时存储【旧式】快捷方式的。现在开始菜单里的快捷方式储存在C:\Users\xmz20\AppData\Roaming\Microsoft\Windows\Start Menu\里面。

image-20200412201431738

看起来这个病毒是有年头了。

而在另一篇文章中,微软直接表示可以删除这个注册表项。

image-20200412201653573

这就简单了,对吧?

解决方案

同时按住Win+R,输入cmd

输入

reg DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\UFH\SHC /va /f

治愈了吧?
(Hao123可能同时修改任务栏的快捷方式,这个需要你手动改回去。)