步骤：

1. 用everything搜“2345”，把可疑的文件删掉，诸如2345explorer开头的文件。
   
   （这个是删完没问题后的）
2. 选中浏览器 右键chrome/firefox等 → 属性 → 目标 ：把.exe后面的后缀的可疑主页删掉。（该方法治标不治本但可以清一下）
   
   （往后拉，有可疑的主页）
3. 打开浏览器chrome/firefox等的文件所在位置，返回桌面，删除桌面chrome/firefox等快捷方式图标，在文件所在位置重新发送桌面快捷方式。（该方法治标不治本但可以清一下）
   
4. 按Win+R，输入regedit然后按下Enter回车键。
   依次定位到：

HKEY_CURRENT_USER\Software\Policies\Microsoft

展开Microsoft，查看其下是否包含子项 Internet Explorer 若有，删除（右击Internet Explorer，选择“删除”）。

然后再依次定位到以下3个注册表项。单击Main，查看右边细节窗口中[Default_Page_URL]值和[Start Page]值是否有异常。如果被修改了，请根据自己的需要改回（右击键值，选择“修改”进行更改）。
[Default_Page_URL]设置成你想要的主页；[Start Page]可以设置为about:blank

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

HKEY_USERS\Default\Software\Microsoft\Internet Explorer\Main

小提示：在上面箭头处可以复制路径过去，不需要在旁边文件夹一个个展开寻找

继续搜索注册表，检查注册表所有选项里有没有2345这个文件加，只要点开每个HKEY_XXXX文件加，然后按键盘2，能快速查找到，把所有含2345这个文件删除。

6. 在windows搜索里搜索计划任务，点击左侧任务计划程序库，查看可疑程序建的任务。比如发现有KMS10等可疑的任务，选中该任务，右键禁用，之后开机就不会启动了。
   
7. 下载Hitman pro 下载地址。scan扫描一遍，删除可疑项。

到这步做完之后，可以尝试重启电脑，看看还有没有出现流氓软件耍流氓的情况。一般是没有惹。如果还有的话请留言，谢谢。

小结：这个原理我猜大致是每次点开浏览器的时候，流氓程序写了由一个钩子hook函数，jump到了一个流氓网址去了。但由于我的能力有限，不会用x64dbg逆向**（查看jmp都很正常T_T），找不到流氓程序来自哪个dll，也删不掉。

参考了 ：
https://www.zhihu.com/question/67602632
https://www.zhihu.com/question/26998906
https://www.zhihu.com/question/23157265