浏览器首页被篡改几经波折？来套组合拳一波带走！

网络上对于浏览器被篡改的教程多不胜数，往往这些教程都是治标不治本，笔者通过整合这些内容之后发现一种新的防治浏览器被篡改的方法，如果你苦于浏览器被各种主页网站篡改而几经波折，不妨试试本文的方法。

这几年的网络环境和之前是完全不同的，之前篡改浏览器首页，大都只是为了简单宣传一下，扩大一些知名度。而现在的做这些事情的目的就只有一样，就是为了给自己带来用户流量，所以方式多种多样，有些方式甚至比病毒木马还要难缠。小编就针对各种各样的情况一一解决，绝对不要心慈手软！

1、首先，大家先用最常规的方式修复被篡改的浏览器首页，第三方安全工具、手动更改浏览器主页地址，若用这样的方式，浏览器还是反复被篡改回来，那就用下面的方法试试看！

2、咱们需要找到浏览器的安装地址，如果出现了下图示例的样子，那就证明是中了恶意定时自动运行脚本的招了。想要找到根源，得借助WMI Tools软件的帮助（WMI Tools下载）。

PS：并不是小编不想直接给大家下载链接，而是官方下载打不开，而国内那些软件下载网站你们都懂的，刚刚小编下载时候也差点中招，所以只能用这样的方式提供给大家经过验证，干净的软件。你们也不想像小编一样安装个软件要小心翼翼吧？

3、安装后打开WMI event viewer，点击左上角Register For Events，弹出Connect to namespace框，填入"root\subscription"确定。

4、点击左侧_EventFilter:Name="unown_filter"，再至右侧右键点击ActiveScriptEventConsumer Name="unown"，选择View Instant Properties，

5、查看ScriptText项可知，这是一段VBScript调用系统服务间隔30分钟执行一次，将所有浏览器调用加上"https://www.xitongzhijia.net/?kunown"受到影响的浏览器有（大家常用的浏览器差不多齐了）：

IEXPLORE.EXE、chrome.exe、 Firefox.exe、360chrome.exe、360SE.exe、SogouExplorer.exe、Opera.exe、Safari.exe、Maxthon.exe、TTraveler.exe、TheWorld.exe、Baidubrowser.exe、Liebao.exe、QQBrowser.exe。

6、找到源头，处理起来就简单多了，在WMI Event viewer中将_EventFilter:Name="unown_filter"项用鼠标右键删除，如果删除不掉就去WMITool安装路径（如C:\Program Files (x86)\WMI Tools）下，右键点击"Wbemeventviewer.exe"，选择以"管理员身份运行"后，再将项目删除。还没完，这只是处理了定时脚本，还要将各个浏览器快捷命令中的"https://www.xitongzhijia.net/?kunown"去掉，处理其他主页，也可以用相同的方法。只是小编测试中没有中招，只能用系统之家举例了。

要是用上面的方式得不到和小编测试环境相同的结果，大家可以到C:\Program Files下，显示所有隐藏文件和系统文件，将WindowsApps文件夹彻底删除。如果需要管理员权限，用之前介绍的方式，获取权限就能彻底删除，之后将浏览器首页改成正常即可。这是第二种方法。

7、经过查证，还有一种篡改浏览器首页是通过注册表及文件注入的方式进行（吐个槽，今天大半天的时间基本都耗在模拟测试环境和寻找解决办法了，这些古怪的方式让小编深深的怀疑这些是不是做安全防护软件的开发者做出来的推广方式，用常规软件和方法基本是无解的，而且还会感染安装程序，快无敌了）。解决这样的首页篡改相对比较简单，Win+R之后打开注册表编辑器，搜索"Mslmedia"，将有关内容全部删除。完事之后不要重启，接着去C:\Windows\System32\drivers文件夹下，找到Mslmedia.sys文件并彻底删除，重启之后再修改浏览器主页地址，可以解决这个问题。

以上者几种篡改方式还办法解决，接下来的解决方案基本上就是“杀敌一千，自损八百”的火拼了！下载名为"Adwcleaner"的软件，启动软件后选择"Scan"，看看篡改首页的流氓软件感染你那些应用程序，之后选择"Clean"会彻底清除感染文件，被感染的应用程序也会被直接卸载。如果不卸载那些被感染的应用程序，浏览器首页是改不回来的，只要运行应用，自动就改了，这和病毒效果是一样一样的。看图，为了做实验，小编的QQ就牺牲了！

最后一种是安装软件自带浏览器篡改功能，如果你的浏览器被篡改之前，安装过什么软件的话，直接卸载那个软件即可。再按着第二种和第三种方式做一遍清理，实在懒得折腾，重装系统吧！

在做测试的时候，笔者还有个额外的发现：每个网站后面偶尔会现在几位数字号码，搜索之后得知这个是推广组织代码，商家是通过推广代码带来的流量和推广组织结算，说到这里，大家应该理解了为什么现在篡改浏览器首页的方式这么丧心病狂了吧？都是实打实的利益！古人诚我不欺，有人的地方就有江湖，何况是网络这么大一块蛋糕。