最近某位网友遇到这样的问题，win11电脑上Edge浏览器打不开，双击后鼠标转几下圈就没了。

网友怀疑是中文用户名导致，于是建议用管理员cmd新建了纯英文的test账户。但新账户登录后问题依旧存在，任务管理器里也没有Edge进程。

远程后第一时间检查了映像劫持注册表，没发现可疑项。否则下面注册表msedge.exe子项会有Debugger的值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

后面测试了下把edge浏览器主程序改名，再把cmd.exe复制到edge目录，改名成msedge.exe打开，也打不开！再改回cmd.exe名字能正常打开！怀疑是病毒，但之后Autoruns检查一遍启动项没发现可疑项，怀疑是rootkit。

但是用火绒恶意木马专杀什么都没检查出。cmd正常名字能打开，改成msedge.exe打不开，这肯定是有问题的，但是专杀检查不出来，所以只好用procmon分析改名后的cmd.exe打开事件（原来的edge打开事件可能会很多，cmd的会少点）。

从事件最下面往上看，一下子就找到可疑项：

能劫持程序打开的，除了hook就只有驱动组件了，而这里的两个驱动服务LnvHelp和IndexProtect明显很可疑。看了下驱动对应文件的数字签名是联想的，应该是联想管家附带。

于是注册表里把两个start的值从1改成4禁用，再重启电脑，Edge就恢复正常了！

从网友反馈看，新买的联想电脑预装的联想电脑管家卸载后会有驱动残留。我远程时看过没有别的联想管家残留，网友应该不是暴力删除。预装的联想管家卸载后除了上面说的两个驱动残留，system32目录还有个LnvHelp64.dll。

已经在虚拟机里用这三个文件LnvHelp64.dll、LnvHelp.sys、IndexProtect.sys复现了网友的问题。所以有类似问题的可以自我检测下是否有这几个残留。