開啟 IE 或 Edge 瀏覽器，主頁均被強行篡改為 https://www.2345.com/?11319

用過軟媒魔方的人大概都有所體會，這兩家公司就是烏合之眾，遲早要死翹翹。

一、Edge 瀏覽器主頁被篡改，修改即可

二、IE 瀏覽器劫持

1.排查IE瀏覽器快捷方式是否被篡改

如果快捷方式後面沒有 2345.com 的字樣代表沒有被篡改，如下是沒有被篡改

2.排查登錄檔是否被修改

WIN+R 開啟執行工具，輸入 regedit 然後點選 確定，查詢所有 2345.com 的內容並全部刪除

當刪除一條後按 F3 繼續查詢下一條，直到刪除完為止

之後發現IE主頁依然被劫持，網上說和軟媒魔方有關係，剛好前段時間執行過軟媒魔方，所以檢查軟媒魔方

使用工具 PCHunter ，檢查青島軟媒魔方的程式：

其中 winguard.exe 就是罪魁禍首，結束程序後發現IE主頁正常了

最後刪除 pcmaster 整個資料夾，防止程式哪天自動執行後又篡改主頁

C:\Users\perfect\AppData\Roaming\pcmaster   紅字部分請自行替換

刪除過程中發現有個DLL 被佔用，不能刪除

命令列： tasklist /m  winguard_x64.dll   檢視被哪些程序佔用

C:\Users\perfect>tasklist /m  winguard_x64.dll

映像名稱                       PID 模組
========================= ======== ============================================
OpenWith.exe                  3476 winguard_x64.dll
OpenWith.exe                 10524 winguard_x64.dll
AppVShNotify.exe             12980 winguard_x64.dll

C:\Users\perfect>tasklist /m  winguard_x64.dll

映像名稱                       PID 模組
========================= ======== ============================================
OpenWith.exe                 10524 winguard_x64.dll
AppVShNotify.exe             12980 winguard_x64.dll

C:\Users\perfect>tasklist /m  winguard_x64.dll

映像名稱                       PID 模組
========================= ======== ============================================
AppVShNotify.exe             12980 winguard_x64.dll

C:\Users\perfect>tasklist /m  winguard_x64.dll
資訊: 沒有執行的任務匹配指定標準。
 

結束佔用的程序後即可刪除