一例首页劫持排查分享

问题现象：
首页劫持了，被怀疑是易乐游带下去的。

问题排查：
1、上来就远程确认了链接，链接明显就非易乐游的。
2、那么接着上工具查看，首页劫持多有程序驻留，或内核注入，那么对可疑现象，进程排查，浏览器下钩子模块确认，去开机启动项等。

3、这样的链接，一下就明了了，duba，桌面弹窗，以及驻留进程一目了然。
4、那么如何去掉是个问题，最简单挂包，将相关的都给删除掉，或者开超执行下他的卸载程序

5、然而，现实并不那么顺利，挂包清理了，开机又静默给安装下去了。
6、最终大家可能已经猜到，是系统包原就在策略里加好了启动参数，msconfig组策略中找到蛛丝马迹，去掉正常了。