win10系统下,新安装了office ,激活的时候好死不死的使用了KMS 10的一个激活软件。结果使用了重启之后
发现edge 和chrome主页被篡改为 hao123(或者打开之后被重定向到hao123).网上一般能找到的是删除注册表键值。
删除系统目录下的KMS10 KMS8,但是重启后会恢复成原样,直到...
/forum.php?mod=viewthread&tid=378398&extra=&page=2
ref:
清理命令,
删除方法如下:以管理员身份运行PowerShell
执行以下命令
gwmi -Namespace "root/cimv2" -Class __FilterToConsumerBinding -Filter "Filter = ""__eventfilter.name='VBScriptKids_filter'""" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class ActiveScriptEventConsumer -Filter "Name = 'VBScriptKids_consumer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __IntervalTimerInstruction -Filter "TimerID = 'VBScriptKids_timer'" | Remove-WmiObject
gwmi -Namespace "root/cimv2" -Class __EventFilter -Filter "Name = 'VBScriptKids_filter'" | Remove-WmiObject
正常gwmi命令完成以后,在wmi Explorer 中已经看不到了ActiveScriptEventConsumer下的这个恶意的ScriptText了
完了以后,记得确保什么注册表之类的都清理OK,重启总算正常了。
