这次我不忍了…我以为是“瓜”｜结果是浏览器劫持…我把坑点列出来了

前几天本来以为点开的是一个八卦链接——“这瓜我先吃了”那种好奇心作祟的点击。结果浏览器突然被劫持：主页、默认搜索、新标签页被替换，广告弹个不停，甚至每次打开都自动跳到陌生页面。那一刻才意识到，这不是“瓜”，是被套路了。花了几天把问题排查、清理、恢复到正常状态，顺便把踩过的坑整理成这篇文章，给遇到同样问题的人一份可操作的清单。

什么是浏览器劫持？浏览器劫持（browser hijack）指恶意软件或不良扩展改变浏览器设置（主页、新标签页、默认搜索引擎、代理、快捷方式等），强制跳转到指定页面或注入广告、跟踪脚本，严重时会偷窃登录信息或重定向到诈骗网站。

常见症状（先判断再行动）

主页或新标签页突然被改成陌生网站；
默认搜索引擎不对劲，搜索结果中夹杂大量广告或跳转；
浏览器频繁弹出广告或自动打开陌生页面；
无法修改主页/搜索设置，或者设置被反复还原；
任务栏、浏览器快捷方式被修改，URL 后附带可疑参数；
系统浏览器崩溃或页面加载异常慢。

我踩到的坑点（必看） 1) 随意安装小工具、破解软件或不明插件很多劫持是捆绑在“看起来无害”的工具里。安装时不看协议、一路点“下一步”最容易中招。

2) 浏览器扩展权限被滥用扩展申请“读取和更改网站数据”的权限后可以篡改页面、注入脚本。少即是多，只保留必须且来自可信源的扩展。

3) 桌面/快捷方式被篡改劫持常通过修改浏览器快捷方式中的目标（在后面附加 URL 参数）实现启动即跳转。这个细节很多人忽略。

4) 系统代理/Hosts/启动项被改有些劫持会修改系统代理或 Hosts 文件把流量导向恶意服务，也会在启动项里加入持久化程序。

5) 清理不彻底、误删重要文件很多人只删除可见扩展或程序，劫持程序还会留“后门”或注册表/启动项，没彻底清除会复活。

一步步清理与恢复（实操）下面分 Windows 和 macOS 两部分，按顺序做，遇到不懂的步骤先备份再操作。

A. 通用先手动作（所有系统）

断网（拔网线或断 Wi‑Fi）——防止数据外泄、阻止恶意程序继续下载；
切换到安全模式或临时用另一台干净设备查资料；
备份重要数据（文档、书签、密码管理器导出等）；
修改重要账户密码（邮箱、网银、社交、同步浏览器）并开启双重验证，尤其是在感染期间有敏感操作的先改。

B. Windows 清理步骤

检查控制面板/设置 → 应用，卸载最近安装的不明软件；
浏览器：

进入扩展管理，禁用并移除可疑扩展；
重置浏览器设置（Chrome：设置→高级→重置并清理→恢复设置到原始默认值）；
检查快捷方式右键属性→目标，删除后面附加的 URL；

Hosts 与代理：

打开 C:\Windows\System32\drivers\etc\hosts，确认没有陌生条目；
设置→网络和 Internet→代理，关闭手动代理；

启动项和任务计划：

任务管理器→启动，禁用可疑项；
打开“计划任务”，查看有无陌生任务；

注册表（有经验再做）：

regedit 搜索可疑条目，注意先导出备份；

专用清理工具扫描：

推荐先用 AdwCleaner（专治广告/劫持）、Malwarebytes（通杀恶意软件）扫描并清理；

最后重启，检查是否完全恢复。

C. macOS 清理步骤

Safari：偏好设置→扩展，移除不明扩展；偏好设置→常规/搜索引擎恢复原状；
Chrome/Firefox 同样检查扩展并重置；
检查 ~/Library/LaunchAgents、/Library/LaunchAgents、/Library/LaunchDaemons 中可疑 plist 文件，删除后重启（不熟悉请谨慎）；
使用 Malwarebytes for Mac 扫描并清理。

检测是否彻底清除