今天给某位网友远程清理流氓软件的时候，流氓软件都已经清理，浏览器的问题扩展等都解决了。但总有一个问题，设置浏览器主页为百度打开时会跳转到：

还有访问360搜索，劫持到https://www.so.com/?src=lm&ls=sm2142568&lm_extend=ctype:31

同时用火狐浏览器打开百度时，会提示：

Firefox 检测到潜在的安全威胁，因此没有继续访问 www.baidu.com。若您访问此网站，攻击者可能会尝试窃取您的密码、电子邮件、信用卡等信息。

用360官网最新的独立版急救箱强力模式两遍没有解决。查看drivers目录发现可疑文件mspci.sys（流氓软件小白日历会捆绑这个文件）。

但是这个文件的数字签名是：Microsoft Windows。 确实是系统文件。上传到VirusTotal扫描，所有杀软报安全。Autoruns软件里没看到mspci驱动（被识别成windows条目默认隐藏了）。

所以我以为某些版本windows可能有这个文件（印象中有好几位远程过的网友是这样，我都因为这个原因放弃对mspci.sys检查）。这回知道是病毒用win7的volsnap.sys伪装的，跟病毒文件大小一致。

给网友远程弄了好久，都没解决劫持到tn=21002492_34_hao_pg网页的问题。最后无意间又看到mspci.sys，怀疑是这个文件的问题。

给网友装了个PE，进PE里用我的软件ScanSrv（AutoConfigURL被固定那篇文章里的工具）检查发现mspci.sys数字签名变回：深圳市竞天石网络技术有限公司）。禁止启动后重启，问题解决！

虚拟机里测试了下，发现管理员命令行cmd执行：

重启后也能解决问题。