这个病毒真的无法除掉吗？

楼上都说得太玄乎了。。。
排查方式不在乎几点
1.有没有后台进程实时检测
2.有没有短网址写入注册表

1 是比较好排查的，可以先做启动项排查，虽然 Windows 启动方式很多，但是太多工具已经帮忙整理出来了。如果排查不到，新下载个无名的浏览器做测试，如果也被劫持，说明有后台进程，继续考虑查毒。
2.打开 ie 相关注册表位置，看看有没有莫名其妙的网址，有就再搜索替换，没有也没什么办法。
如果别的浏览器都搞定了，只剩下 IE 搞不定，就充值 IE 为默认设置，然后重启电脑即可。

别告诉我你用了 Ghost 系统 不过这年代 XP 当然被嫌弃啦

@PHPwind XP...IE 9 ？

这种情况我见过几次，一般是系统被种下了驱动级别的木马。
驱动文件有签名，国内某些软件是白名单的了的。所以拿这些查不出来什么东西
不是什么内核漏洞，也不是注册表快捷方式 url （这都烂到家的招数）

@PHPwind XP 要上 iOS9...天了噜…

@isnowify IE9 …狗带的自动更正

pchunter 试试

wsyschk

你居然能用 IE9 。。。或许浏览器本身就是个问题。。。

诺顿的 NPE 试试： https://security.symantec.com/nbrt/npe.aspx

额，怎么说呢。
你看看 Explorer.exe 是不是其中 Explorer.exe 的 l 被写成了 1 或大写 I 。

@PHPwind XP 可以装 IE9 ？所有浏览器都中，那一定是系统级别的问题了，找款 ARK 一项项看过来吧。
@wy315700 组策略也是通过注册表起作用的。

@Aquamarine 之前测试的时候发现组策略优先级比注册表高

@wy315700 你是如何测试的？优先级可否举个例子？

可以动手脚的地方太多了，下个 autoRuns 按个检查驱动、映像劫持等内容。
也可以试试通过 procexp 检查下浏览器父进程、启动参数。

对了，尝试切断网络再打开浏览器看看 url 到底是什么。
有些恶意劫持为了防止被搜索注册表找出来，默认主页是另一个地址，通过重定向转到 hao.ylmf.xxx 。

@xmh51 不明白为什么现在银行 （开通网银后需要激活 大堂经理用的那个电脑竟然是 xp ）商场各种柜台电脑大部分也都是 xp

@kn007 打错了，是 8

@bdbai 打错了

@googlefans
1.更换代价高（从驱动到用户界面程序各种支持）
2.够用
3.系统和软件测试运行这么多年，发现和修复 N 多 bug ，足够稳定
4.使用环境相对封闭，即使有漏洞也不一定能被利用（比如只能访问内网， USB 被物理封死之类）