转载

记录一次浏览器主页被劫持为3456的解除过程!

事情的起因

用过很多视频播放器后始终觉得potplayer是最实用的,小巧,ffmpeg内核,硬件解码强,昨天重装win10系统,要重装potplayer,百度,然后进了,http://www.potplayer.org/,下载地址给的是个网盘,下载,解压, 发现有个浏览器图标的setup.exe,我迷迷糊糊就点了!然后提示要管理员权限,我点击是!半天没有出现安装界面.....

然后,你懂得,我的浏览器打开直接就是3456.com了!!

首先根据以往的经验,这一般都是快捷方式作祟!属性查看快捷,快捷方式并没有参数!直接双击exe打开浏览器,也是3456.com!进程也正常,没有异常!浏览器配置也是正常的!

难道有dll模块注入?

打开Process Hacker 2,查看dll模块!发现基本都是正常的dll!

但是发现倪端, 就是发现进程启动的时候  command line有参数! !!

记录一次浏览器主页被劫持为3456的解除过程!

双击exe启动,后面的竟然有参数??

难道入侵到内核了?╮(╯▽╰)╭

http://a.virscan.org/

不多说,先用http://a.virscan.org/看刚才点击的setup.exe到底做了哪些事,

记录页面:http://a.virscan.org/f77c649f2664663bbc53037226017129

部分结果

关键行为  行为描述: 写权限映射文件  详情信息: CiceroSharedMemDefaultS-*   Local/UrlZonesSM_Administrator   DfSharedHeap3D484A   /WINDOWS/system32/zh-cn/wshext.dll.mui   MSCTF.MarshalInterface.FileMap.MLJ..JEDHH   MSCTF.MarshalInterface.FileMap.MLJ.B.JFDHH   MSCTF.MarshalInterface.FileMap.MLJ.C.JFDHH   MSCTF.MarshalInterface.FileMap.MLJ.D.JFDHH   MSCTF.MarshalInterface.FileMap.MLJ.E.JFDHH   MSCTF.MarshalInterface.FileMap.MLJ.F.JFDHH   MSCTF.MarshalInterface.FileMap.MLJ.G.JFDHH   /WINDOWS/setupapi.log  行为描述: 常规加载驱动  详情信息: system32/DRIVERS/Mslmedia.sys  行为描述: 设置特殊文件夹属性  详情信息: C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files   C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5   C:/Documents and Settings/Administrator/Local Settings/History   C:/Documents and Settings/Administrator/Local Settings/History/History.IE5   C:/Documents and Settings/Administrator/Cookies  行为描述: 创建系统服务  详情信息: [服务创建成功]: Mslmedia, system32/DRIVERS/Mslmedia.sys 

整个setup.exe提权之后就只做了两件事,加一个驱动和一个服务!!

我们都知道,驱动是随系统运行的,在任务管理器看不到的!!而且Mslmedia这个服务在服务管理也看不到!!真坑啊!

收尾

接下来做的事就单间了,根据a.virscan.org的记录,删除创建的注册表值,删除system32/DRIVERS/Mslmedia.sys文件,删除Mslmedia服务!重启,ok,当然删除过程有点繁琐,服务卸载需要工具,sys文件删除需要权限!

重启,浏览器打开正常!

正文到此结束
Loading...