@honeycomb 软件只支持 win7 办公电脑,我想装 win10 都不行

都用国产了，哪家都一样，用手心吧，无弹窗，而且界面 100%复刻搜狗

@virusdefender 是时候得这样了,看你的名字 ,你也是做反病毒的?

@Robots ok

@Vizogood #43 好多年前的事情了

@usedname win7 的输入法易用程度 老铁你用的下...?

@virusdefender 我原来也做过反病毒,我还写过流氓软件终结者,现在被一个劫持主页打败了

@Vizogood #46 不知道 win7 的必应输入法有没有升级，反正在 win10 上我是一直用的必应。

刚刚安装搜狗，并没有被改主页。不过安装程序结束时确实有个框是设置主页为搜狗导航。

注册表方面，不知道 LZ 有没有检查过组策略有关的注册表项。如果是改过又被改回来，Process Monitor 支持 Boot Logging，不过你老爸跟你离得远的话，这个就太麻烦了……
除了这些，就是比较猥琐的木马手段了吧，前一阵子看到的分析：
http://www.freebuf.com/articles/web/131156.html
也许 LZ 需要 PCHunter （查一下 Explorer 在应用层有没有 Hook，还有 LoadImage 回调等）、Autoruns、Process Explorer 等工具。
考虑最倒霉的情况，就是中了木马……这样的话，MBR 和 PBR 也不能放过，可以用 BOOTICE 在 U 盘启动的情况下先备份出 MBR 和 PBR，再传 VirusTotal 扫描。

前一阵子才碰到身边有人中 PBR Bootkit，赛门铁克的数据库显示名字好像叫 Cidox，是 N 年前的老病毒……
电脑管家报道的“异鬼”和它的行为也比较吻合……
表面能看到的行为就是改主页。

在找到问题源头之前，我不觉得用别的工具锁主页是个好主意。

@acess 我打算试试 process monitor 和 PCHunter WMI 没有找到事件绑定..