昨天新装好的系统不小心执行了一些来源不明的程序，结果重启之后发现浏览器出问题了，无论打开什么浏览器，都会自动访问hao123网址导航,但自己浏览器设置的主页却不是这个。
嗯，这一看就是被劫持了嘛。我发现基本上所有浏览器快捷方式后面都加上了这个参数:
http://hao916.com/?r=xlrnmdebjmxx&m=d5
真是不要脸的东西，原以为把这个参数删除就是了，但事实证明没有这么简单，重启之后它们又回来了。
于是参考了 中招了——WMI脚本劫持浏览器 - 知乎专栏 这篇文章,找到了解决方法。

移除脚本

WMI脚本是个藏后门的好东西，基本上很少有机会能想到它。
根据文章里的解释，需要先下载一个 WMI Tools
这好像是一个比较小众的软件，可以在这里下载

下载安装后，右键WMI Event Viewer -> 以管理员身份运行
点击窗口左上方的笔按钮，弹出Connect to namespace窗口，直接点击OK。
如果没有问题的话，你应该能看见仅有的那个**__EventFilter.Name="VBScript...**
没错，就是它了。右键，选择 Delete ... 那个选项把它删除就好了。

还没有结束

这段脚本对你系统的多处都进行了修改，你需要手动访问这几个路径，把里面的浏览器快捷方式后的参数移除:

C:\Users\Public\Desktop
C:\ProgramData\Microsoft\Windows\Start Menu\Programs
C:\Users\你的用户名\Desktop
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar
C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs