如何自救？hao123劫持篡改chrome主页，而且注册表检索hao123有很多无法删除项

本文最初是发布在知乎2016-03-29，经过整理收录至专题

https://www.zhihu.com/question/41879654/answer/92822736?group_id=818061987832541184

关键字：hao123、世界级流氓软件、软件层面、注册表修复、故障自救

解决问题之前，请仔细查看以下问题描述是否符合自身遇到的hao123，hao123也分版本年代，类似感冒和流感，情况可轻可重。

能用常规手段解决就用常规手段解决，不要轻易大动筋骨系统软件层面的修改

事源：

删除360安全卫士后，重启电脑后chrome打开后出现hao123的首页劫持

经过两天的搏杀后，感觉靠自己一人的力量可能无法根除hao123的劫持，特此发问知乎er们求助

设备信息：

Windows7盗版旗舰 32位，多年未曾重装

具体表现：

chrome 快捷方式 -属性→ 有hao123的网址尾巴

打开chrome ，会弹出hao123的首页劫持

解决故障目前遇到的问题

注册表检索有 几十个hao123protect项， 常规手段（提权）无法删除（错误提示：非父对象继承）

有恶意进程/驱动的运行，Pchunter右键被锁定，无法进行删除

进展：PChunter中右键锁定 莫名其妙解除，可能 360卫士主动防御运行中

可疑软件排查进度：

即安装时有可能捆绑hao123的软件（可疑软件名单怎么来的？最近安装的软件更新、百度反向搜索、知乎hao123帖子）

驱动人生5→曾安装，已卸载

快播→曾安装，已卸载

魔方→未安装

华为网盘→未安装

腾讯管家→未安装

ZOL软件安装器→未安装

常规手段尝试：

Internet选项-设置 →无效

avast检测 →无效

chrome快捷方式改名→ 无效

chrome-扩展，删除最近安装的扩展，不怎么使用的扩展→ 无效

chrome-设置-启动时-设置网页（空） → 无效

谷歌软件清理工具software removal tool → 无效

快捷方式-属性-目标，删掉尾巴→重启后无效

删掉有问题快捷方式，重新建立快捷方式到Quick Launch

C:\Users\用户名字\AppDara\Roaming\Microsoft\Internet Explorer\Quick Launch

→重启后无效

修改注册表固定 Internet选项 锁死主页 → 无效

360系统急救箱→ 无效

360安全卫士 →重启后有效，但是注册表残留hao123protect仍存在！治标不治本

高级一点的手段尝试：

1 注册表检索直接删除注册表hao123相关的值→能删除的不断再生，大部分无法删除

2 西天取经老外四件套adwcleaner、JRT、HITMANPRO、mbam

Removehttp://Hao123.comvirus (Removal Guide)→ 无效

3 PChunter→内核钩子全红，应用层钩子全红、系统杂项4个红，不敢轻举妄动未处理

4 手动删.sys .dll （以下名单收集自知乎帖子提供的可疑.dll .sys ，以下在本人drives内均没有）

HYTJ.dll

QvodExtend.dll, QvodWebBase.dll →快播设置的劫持

Mslmedia.sys→POT冒牌网站遇到的劫持

jihuo.dll、LHPLKernel.sys 、surak.sys→小马激活遇到的劫持

kisBase64.dll→ 金山安全助手遇到的劫持

已经尝试过的手段

以上途径，以及几乎所有hao123知乎相关的贴

未尝试的手段

解除运营商劫持

Reset chrome默认设定

chrome快捷方式-安全-禁止SYSTEM写入

修改HOST

Microsoft silverlight 的卸载

360人工服务

Process Explorer

Process Hacker 2

Pchunter

请问

在不重装的情况下，不使用老流氓360情况下

1可否移除注册表内所有hao123protect的项？

2如何用PChunter解决此的问题？

---

其实是自问自答

知乎回答发布时间：2016-03-29 

与hao123的搏斗终于告一段落，前后大概3-4天

尝试知乎，贴吧，V2EX，Youtube，几乎所有关于hao123的帖子

均无法清除hao123对chrome的劫持，不是有意嘲讽，是流氓版本实在太新

全靠PChunter+Regedit实现不重装电脑的自救，步骤如下

PChunter下载地址：http://www.xuetr.com/

1使用PChunter修复，铲掉hao123Protect的保护壳

→强行修复可疑的应用钩子、内核钩子

→重启

→检查PChunter内是否还有可疑的应用钩子、内核钩子生成

→ 没有残余

2使用Regedit，逐个删除hao123的注册表键值

Regedit→查找hao123的项，键，值

PChunter-注册表→ 对照的着一个一个删掉

→重启

→检查 Regedit 是否还有再生的hao123protect

→ 没有残余

3删除360安全卫士，测试在无360安全卫士的压制下，是否还有活跃的hao123protect及其进程

→重启

→ 检查 Regedit 是否还有再生的hao123protect

→ 没有残余

搞定

问题和回答已收录至

Win7软件问题调查小分队 - 专题 -