网页被劫持了怎么修复?浏览器被劫持的彻底解决方法

近期使用windows操作系统的时候打开桌面上的浏览器发现Edge浏览器的快捷方式后总是被强制劫持到某网站，小编发现该问题后立马将该快捷方式给删除了，但是删除后又自动出现，马上使用杀软进行病毒查杀但是没有找到病毒，网上一搜，很多朋友也都遇到了这样尴尬的问题，下面纯净系统基地小编给大家分享一下解决浏览器被劫持的解决方法，希望可以帮到大家！

浏览器被劫持的彻底解决方法

在桌面上右击该快捷方式并依次选择“属性→快捷方式”，在“目标”框中可以看到在浏览器程序之后被添加了“http://hao.ttmmt.com/?v=1030”参数，正是这个参数对浏览器进行了劫持。

切换到“常规”选项卡，看到快捷方式的位置是“C:\Users\Public\Desktop”，即后台进程每次创建的快捷方式是“C:\Users\Public\Desktop\Microsoft Edge.lnk”。

此时我们可以使用“Process Monitor汉化版”启动该软件后点击菜单栏中的“Filter”，并勾选“Drop Filtered Events”，再点击“Filter…”


在打开的窗口中去除所有进程前的监控勾选，在“Display entries matching these condtions”下依次选择“Path”和“is”，在其后的文本框中输入“C:\Users\Public\Desktop\Microsoft Edge.lnk”，即监控指定路径下文件的创建事件，用来查看创建上述快捷方式的进程，如图：

现在返回到桌面，按提示先删除该快捷方式，在快捷方式重新出现后返回Process Monitor窗口，可以看到一个名为“scrcons.exe”的进程创建了上述的快捷方式，而且根据生成时间的提示，该进程每隔1个小时就会再次执行创建操作，正是“scrcons.exe”进程的存在才导致快捷方式不断地复活，如下图：


接着我们选择“scrcons.exe”进程，右击并选择“属性”，在打开的窗口中切换到“process”选项，可以看到该进程对应“C:\Windows\System32\wbem\scrcons.exe”。按提示在资源管理器中找到该文件后右击并选择“属性”，在“详细信息”选项卡下，可以看到这其实是一个系统文件，经过查询微软文档帮助，便可以知道它的主要作用是运行WMI脚本，如图下：


使用WMI Tools找出后台运行的WMI脚本
通过上述的方法我们知道了“scrcons.exe”进程并不是病毒文件，那么它为何会不断地创建上述的快捷方式呢？结合“scrcons.exe”文件作用的描述，现在可以基本判定本次问题很可能是一个WMI脚本劫持所导致的。

完成WMI Tools的安装后以管理员身份启动“WMI Event Viewer”，在程序窗口中点击第一个笔形图标打开“WMI Event Registration Editor”窗口，在弹出的“Connect to namespace”框中下拉并选择“root\CIMV2”，点击“OK”


继续在打开的窗口中展开“_EventFiter”，在右侧的窗格中可以看到本机正在运行一个名为“VBScriptLKKids_consumer”的活动脚本。


现在按提示双击该脚本打开其属性窗口，在“Script Text”选项的“Value”项下可以看到运行的脚本代码。代码的内容较多，可以全选复制，然后粘贴到记事本新建的文档中查看。

正是这段代码创建了快捷方式，并在浏览器后添加劫持参数，它通过“scrcons.exe”在后台定时加载该脚本，这也正是快捷方式被删除后会不断“复活”的真正原因，如图：


好了，当我们知道问题出现的原因后，解决的方法就是删除脚本。返回所示的窗口中，选中“VBSScriptLKKDS_filter”并右击，然后选择“DeleteI instance”，最后将桌面上的快捷方式的尾巴参数删除，至此问题得到顺利地解决。