今天研究(翻，墙)，装了几个插件，什么云帆、外遇、蓝灯

后来我的google浏览器被hao123劫持，百度浏览器被hao524劫持

删除浏览器快捷方式、属性目标里的后缀，过不多久又被劫持，把我搞毛了

弄了一晚上，发现是wmi脚本被篡改，写入了恶意代码

解决办法：

1、修改快捷方式、在快捷方式上右击属性对话框手工删除网址的部分

2、加载了启动项的，在注册表、启动项、服务中搜索相关网址信息，找到后删除

3、使用wmitools工具删除wmi恶意代码

wmitools下载地址：https://pan.baidu.com/s/1bo7GQvH

修改步骤如下：

① 安装wmitools后，进入安装路径，右键管理员运行wbemeventviewer.exe

 ②单击左上角的钢笔符号

③弹出对话框内容默认为：root\CIMV2 ，点击ok按钮

④接下来弹出的对话框再次点击ok按钮：

⑤窗口中出现_EventFilter，操作如下：

⑥恶意代码在下面的ScriptText里，我复制到notepad++里，如下：

   将上面代码复制到notepad++，如下：

⑦ 按如下操作，删除之：

⑧完成，关闭工具。

      注意：经排查，此问题是由于安装了蓝灯（翻，墙）插件，大家小心了！