解决WIN10系统，浏览器被2345劫持问题

 WIN10系统，浏览器被2345劫持的问题。

1，卸载你的KMS激活工具，这次就在xx之家下载了个小马激活，结果恶心死了。

***首先，大家一起来鄙视2345 这个垃圾公司*****

2，删除计划任务中相关

   在WIN10 左下角的windows图标上，右键弹出菜单，

选择计算机管理，系统工具，任务计划程序，任务计划程序库，将 KMS 相关的计划任务全部删除

（注意，删除后win10失去自动激活，变成180天那种，换个激活工具吧，没试过不删除是否恢复劫持，

不过，做事要干净，我要是写这个程序肯定会放到这个里面）

做完这些，只是表面，如果只是这，就不恶心了。你会发现，什么痕迹都没有了，但是，浏览器依旧被劫持。

（有兴趣的，搜索 WMI 了解一下）

3，打开路径：C:\Windows\System32\wbem\wbemtest.exe, 以管理员身份运行，否则权限不够。

可能性一：（亲测）

连接：root\CIMV2

查询1：select * from __EventConsumer

查询2：select * from __EventFilter

-------------------------------------------------------二者方法一样，操作两次------------------------------------

选择并删除：ActiveScriptEventConsumer.Name=”VBScriptKids_consumer”

注意，如果没有管理员权限，会删除失败！

如果想看看内容（下同）

双击：ActiveScriptEventConsumer.Name=”VBScriptKids_consumer”

双击：ScriptText，就可以看到 2345网站恶心的脚本了，听说过的没听说过的浏览器，无一幸免。

查询2：select * from __EventFilter  按照，查询1，步骤再来一次，如果没有符合的信息就不用删除。

可能性二：（网上资料，没测试过）

连接：root\subscription

查询：select * from __EventFilter  选择并删除：_EventFilter:Name=unown_filter 

查询：select * from ActiveScriptEventConsumer  选择并删除：ActiveScriptEventConsumer Name=unown

4，删除注册表中

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

可能存在的自启动项，我的电脑上是键值为：

C:\ProgramFiles (x86)\.....(中间忘记了)….\...1132.exe

C:\ProgramFiles (x86)\.....(中间忘记了)….\...1164.exe

两个程序启动项目，看着就可疑，删除他。

5，删除开始菜单中 浏览器快捷方式 属性 中尾巴字符串。

   删除任务栏 浏览器快捷方式 属性 中尾巴字符串。

   删除开始 程序中浏览器快捷方式 属性 中尾巴字符串。

   删除桌面 浏览器快捷方式 属性 中尾巴字符串。