教你如何找出劫持Win11浏览器主页的幕后黑手-下载群

　　小编发现很多使用Win11系统的小伙伴，遇到过浏览器主页被劫持的情况，打开浏览器老是会自动跳转到某个网站去，即使删除快捷方式过段时间也会自动恢复的，用杀毒软件也检测不出问题，那究竟该怎么找回劫持主页的幕后黑手呢？下面，小编就给大家分享下操作方法。

　　使用Process Monitor找出创建快捷方式的进程

　　该问题的主要表现是浏览器打开后被劫持到其他的网页，因此我们先要找到被劫持的原因。在桌面上右击该快捷方式并依次选择“属性→快捷方式”，在“目标”框中可以看到在浏览器程序之后被添加了“http://hao.ttmmt.com/？v=1030”参数，正是这个参数对浏览器进行了劫持（图1）。

　　接下来我们再分析快捷方式为什么会“再生”。因为上述的快捷方式在每次删除后都会被自动恢复，所以显然在后台有个特定的进程在重新生成这个快捷方式。切换到图1所示界面中的“常规”选项卡，看到快捷方式的位置是“C:UsersPublicDesktop”，即后台进程每次创建的快捷方式是“C:UsersPublicDesktopMicrosoft Edge.lnk”。

　　那么到底是哪个后台进程在创建快捷方式？后我们可以使用Process Monitor（https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon）进行监控。启动该软件后点击菜单栏中的“Filter”，并勾选“Drop Filtered Events”，再点击“Filter…”（图2）。

　　随后，在打开的窗口中去除所有进程前的监控勾选，在“Display entries matching these condtions”下依次选择“Path”和“is”，在其后的文本框中输入“C:UsersPublicDesktopMicrosoft Edge.lnk”，即监控指定路径下文件的创建事件，用来查看创建上述快捷方式的进程（图3）。

　　现在返回到桌面，按提示先删除该快捷方式，在快捷方式重新出现后返回Process Monitor窗口，可以看到一个名为“scrcons.exe”的进程创建了上述的快捷方式，而且根据生成时间的提示，该进程每隔1个小时就会再次执行创建操作，正是“scrcons.exe”进程的存在才导致快捷方式不断地复活（图4）。

　　继续在图4所示的窗口中选择“scrcons.exe”进程，右击并选择“属性”，在打开的窗口中切换到“process”选项，可以看到该进程对应“C:WindowsSystem32wbemscrcons.exe”。按提示在资源管理器中找到该文件后右击并选择“属性”，在“详细信息”选项卡下，可以看到这其实是一个系统文件，经过查询微软文档帮助，便可以知道它的主要作用是运行WMI脚本（图5）。

　　使用WMI Tools找出后台运行的WMI脚本

　　通过上述的方法我们知道了“scrcons.exe”进程并不是病毒文件，那么它为何会不断地创建上述的快捷方式呢？结合“scrcons.exe”文件作用的描述，现在可以基本判定本次问题很可能是一个WMI脚本劫持所导致的。对于WMI脚本的查看可以通过WMI Tools（https://www.adremsoft.com/netcrunch.tools/wmi-tools/）来实现。

　　完成WMI Tools的安装后以管理员身份启动“WMI Event Viewer”，在程序窗口中点击第一个笔形图标打开“WMI Event Registration Editor”窗口，在弹出的“Connect to namespace”框中下拉并选择“rootCIMV2”，点击“OK”（图6）。

　　继续在打开的窗口中展开“_EventFiter”，在右侧的窗格中可以看到本机正在运行一个名为“VBScriptLKKids_consumer”的活动脚本（图7）。

　　现在按提示双击该脚本打开其属性窗口，在“Script Text”选项的“Value”项下可以看到运行的脚本代码。代码的内容较多，可以全选复制，然后粘贴到记事本新建的文档中查看。在代码中可以看到“http://hao.ttmmt.com/？v=1030”（它和图1显示的劫持参数是一致的），并且很多常见的浏览器都会中招。正是这段代码创建了快捷方式，并在浏览器后添加劫持参数，它通过“scrcons.exe”在后台定时加载该脚本，这也正是快捷方式被删除后会不断“复活”的真正原因（图8）。

　　小提示：

　　如果在图7中显示的活动脚本不止一个，为了能够确定是哪一个脚本导致的问题，我们可以参考图8的操作，依次打开每一个脚本的“Value”项查看具体代码，通过代码内容来进行判断。

　　知道问题出现的原因后，解决的方法就是删除脚本。返回图7所示的窗口中，选中“VBSScriptLKKDS_filter”并右击，然后选择“DeleteI instance”，最后将桌面上的快捷方式的尾巴参数删除，至此问题得到顺利地解决。

版权声明 1 本网站名称：下载群
2 本站永久网址：http://www.xiazaiqun.com
3 本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长 EMAIL:mail@xiazaiqun.com进行删除处理。
(或到此版块 http://www.xiazaiqun.com/forum/78115.html 自行发帖进行意见反馈)
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5 本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6 本站资源大多存储在云盘，如发现链接失效，请联系我们将尽力更新找回，如无法找回请谅解。

THE END