彻底清除360主页劫持并恢复Chrome与Edge浏览器默认设置

1. 问题现象分析：360系列软件的浏览器劫持机制

用户反馈在使用Chrome或Edge浏览器时，无论手动修改主页为任意URL（如https://www.google.com或空白页），重启浏览器后仍自动跳转至hao.360.cn。该行为具有典型“主页劫持”特征，常见于360安全卫士、360浏览器等捆绑组件。

劫持路径包括但不限于：

• 修改浏览器快捷方式目标参数（添加推广链接）
• 注入注册表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main等键值
• 通过后台服务或计划任务持续监控并重置浏览器配置
• 利用进程注入技术干预浏览器启动流程

此类行为即使清空注册表项，也可能因守护进程存在而被重新写入。

2. 深度排查流程图：定位劫持源头

graph TD
    A[发现主页被篡改为hao.360.cn] --> B{检查浏览器快捷方式}
    B -->|目标含可疑参数| C[清除附加URL参数]
    B -->|正常| D[检查注册表启动项]
    D --> E[HKEY_CURRENT_USER\...\Main]
    D --> F[HKEY_LOCAL_MACHINE\...\Main]
    E -->|发现Start Page被改| G[备份后删除或修改]
    F -->|同上| G
    G --> H[结束360相关进程]
    H --> I[查找360安装目录下的helper/exe]
    I --> J[检查任务计划程序中定时任务]
    J --> K[是否存在BrowserProtectMonitor]
    K -->|是| L[禁用并删除任务]
    L --> M[进入安全模式进行深层清理]

3. 多层次解决方案实施步骤

4. 针对Chrome浏览器的具体修复方案

Chrome主页劫持常源于策略组被恶意写入。执行以下命令查看当前策略状态：

reg query "HKLM\SOFTWARE\Policies\Google\Chrome" /s
reg query "HKCU\SOFTWARE\Policies\Google\Chrome" /s

若发现HomepageLocation、RestoreOnStartup等键值指向hao.360.cn，应立即删除对应项：

reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /v HomepageLocation /f
reg delete "HKCU\SOFTWARE\Policies\Google\Chrome" /v RestoreOnStartup /f

同时检查Chrome扩展程序，移除名称模糊或来源不明的插件，尤其是“360导航助手”类扩展。

5. Edge浏览器的企业级防护配置

对于Edge浏览器，可通过组策略或注册表强制锁定主页，防止第三方篡改：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Edge
新建字符串值：
    HomeButtonUrl = https://www.example.com
    RestoreOnStartup = 4
    RestoreOnStartupURLs\0 = https://www.example.com

也可通过MDM策略部署，实现跨终端统一控制。此方法可有效绕过360等软件的常规劫持手段。

6. 在保留360杀毒功能前提下的隔离策略

若需保留360杀毒引擎但禁用其浏览器干预能力，建议：

1. 进入360安全卫士 → 功能大全 → 停用“浏览器保护”、“主页锁定”、“上网急救箱”等模块
2. 在“设置中心”关闭“开机自动启动浏览器保护”
3. 将chrome.exe、msedge.exe加入360主动防御白名单
4. 定期使用360杀毒独立版（无卫士组件）进行病毒扫描
5. 通过Hosts文件绑定hao.360.cn 127.0.0.1阻断其加载（谨慎使用）
6. 监控%ProgramFiles%\360\360Safe\config\policy.dat文件变更
7. 使用Process Monitor捕获RegSetValue操作来源
8. 部署AppLocker限制非授权程序写入注册表关键路径
9. 启用Windows自带的SmartScreen和Defender实时防护作为补充
10. 建立系统还原点后进行深度清理测试