码迷,mamicode.com
首页 > 其他好文 > 详细

记录一次浏览器主页被劫持为3456的解除过程!

时间:2015-09-13 17:20:41      阅读:227      评论:0      收藏:0      [点我收藏+]

标签:

事情的起因

  用过很多视频播放器后始终觉得potplayer是最实用的,小巧,ffmpeg内核,硬件解码强,昨天重装win10系统,要重装potplayer,百度,然后进了,http://www.potplayer.org/,下载地址给的是个网盘,下载,解压,发现有个浏览器图标的setup.exe,我迷迷糊糊就点了!然后提示要管理员权限,我点击是!半天没有出现安装界面.....

 

然后,你懂得,我的浏览器打开直接就是3456.com了!!

首先根据以往的经验,这一般都是快捷方式作祟!属性查看快捷,快捷方式并没有参数!直接双击exe打开浏览器,也是3456.com!进程也正常,没有异常!浏览器配置也是正常的!

难道有dll模块注入?

  打开Process Hacker 2,查看dll模块!发现基本都是正常的dll!

但是发现倪端,就是发现进程启动的时候 command line有参数!!!

技术分享

 

 

  双击exe启动,后面的竟然有参数??

  难道入侵到内核了?╮(╯▽╰)╭

http://a.virscan.org/

  不多说,先用http://a.virscan.org/看刚才点击的setup.exe到底做了哪些事,

记录页面:http://a.virscan.org/f77c649f2664663bbc53037226017129

 

部分结果

 

关键行为 
行为描述: 写权限映射文件 
详情信息: CiceroSharedMemDefaultS-* 
 Local\UrlZonesSM_Administrator 
 DfSharedHeap3D484A 
 \WINDOWS\system32\zh-cn\wshext.dll.mui 
 MSCTF.MarshalInterface.FileMap.MLJ..JEDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.B.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.C.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.D.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.E.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.F.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.G.JFDHH 
 \WINDOWS\setupapi.log 
行为描述: 常规加载驱动 
详情信息: system32\DRIVERS\Mslmedia.sys 
行为描述: 设置特殊文件夹属性 
详情信息: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files 
 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 
 C:\Documents and Settings\Administrator\Local Settings\History 
 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5 
 C:\Documents and Settings\Administrator\Cookies 
行为描述: 创建系统服务 
详情信息: [服务创建成功]: Mslmedia, system32\DRIVERS\Mslmedia.sys 

 

  整个setup.exe提权之后就只做了两件事,加一个驱动和一个服务!!

  我们都知道,驱动是随系统运行的,在任务管理器看不到的!!而且Mslmedia这个服务在服务管理也看不到!!真坑啊!

收尾

  接下来做的事就单间了,根据a.virscan.org的记录,删除创建的注册表值,删除system32\DRIVERS\Mslmedia.sys文件,删除Mslmedia服务!重启,ok,当然删除过程有点繁琐,服务卸载需要工具,sys文件删除需要权限!

重启,浏览器打开正常!

 

记录一次浏览器主页被劫持为3456的解除过程!

标签:

原文地址:http://www.cnblogs.com/dark89757/p/4805118.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!