标签:
事情的起因
用过很多视频播放器后始终觉得potplayer是最实用的,小巧,ffmpeg内核,硬件解码强,昨天重装win10系统,要重装potplayer,百度,然后进了,http://www.potplayer.org/,下载地址给的是个网盘,下载,解压,发现有个浏览器图标的setup.exe,我迷迷糊糊就点了!然后提示要管理员权限,我点击是!半天没有出现安装界面.....
然后,你懂得,我的浏览器打开直接就是3456.com了!!
首先根据以往的经验,这一般都是快捷方式作祟!属性查看快捷,快捷方式并没有参数!直接双击exe打开浏览器,也是3456.com!进程也正常,没有异常!浏览器配置也是正常的!
难道有dll模块注入?
打开Process Hacker 2,查看dll模块!发现基本都是正常的dll!
但是发现倪端,就是发现进程启动的时候 command line有参数!!!
双击exe启动,后面的竟然有参数??
难道入侵到内核了?╮(╯▽╰)╭
http://a.virscan.org/
不多说,先用http://a.virscan.org/看刚才点击的setup.exe到底做了哪些事,
记录页面:http://a.virscan.org/f77c649f2664663bbc53037226017129
部分结果
关键行为 行为描述: 写权限映射文件 详情信息: CiceroSharedMemDefaultS-* Local\UrlZonesSM_Administrator DfSharedHeap3D484A \WINDOWS\system32\zh-cn\wshext.dll.mui MSCTF.MarshalInterface.FileMap.MLJ..JEDHH MSCTF.MarshalInterface.FileMap.MLJ.B.JFDHH MSCTF.MarshalInterface.FileMap.MLJ.C.JFDHH MSCTF.MarshalInterface.FileMap.MLJ.D.JFDHH MSCTF.MarshalInterface.FileMap.MLJ.E.JFDHH MSCTF.MarshalInterface.FileMap.MLJ.F.JFDHH MSCTF.MarshalInterface.FileMap.MLJ.G.JFDHH \WINDOWS\setupapi.log 行为描述: 常规加载驱动 详情信息: system32\DRIVERS\Mslmedia.sys 行为描述: 设置特殊文件夹属性 详情信息: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 C:\Documents and Settings\Administrator\Local Settings\History C:\Documents and Settings\Administrator\Local Settings\History\History.IE5 C:\Documents and Settings\Administrator\Cookies 行为描述: 创建系统服务 详情信息: [服务创建成功]: Mslmedia, system32\DRIVERS\Mslmedia.sys
整个setup.exe提权之后就只做了两件事,加一个驱动和一个服务!!
我们都知道,驱动是随系统运行的,在任务管理器看不到的!!而且Mslmedia这个服务在服务管理也看不到!!真坑啊!
收尾
接下来做的事就单间了,根据a.virscan.org的记录,删除创建的注册表值,删除system32\DRIVERS\Mslmedia.sys文件,删除Mslmedia服务!重启,ok,当然删除过程有点繁琐,服务卸载需要工具,sys文件删除需要权限!
重启,浏览器打开正常!
标签:
原文地址:http://www.cnblogs.com/dark89757/p/4805118.html