- 系统 win10(1909)
- 系统中的代理总被自动设置到一个陌生的 pac 代理上去,打开 chrome 的时候发现下方提示正在下载代理脚本就察觉到不对劲,打开代理设置,发现被指向到 http://62.60.201.235:17888/rule.pac 这个地址,查看内容发现都是劫持列表内的网址到一个 SF 网站。
- 将代理设置清空关闭,过几秒又会被重新设置回去。
- 用 ProcessMonitor 查找过是什么进程操作了相关注册表,结果操作进程显示都是 regedit?
- 启动项没发现异常,服务和计划任务里也没什么奇怪的东西
- 目前用组策略禁用了修改代理,但是电脑里肯定是有什么东西在搞鬼。
This topic created in 2157 days ago, the information mentioned may be changed or developed.
Supplement 1 · Jul 20, 2020
- 已解决,通过搜索C:\Windows\System32\Tasks下的任务计划找到了名为SystemUpdateNewBackupA的计划任务,将其删除后恢复正常。
- 该任务计划调用regedit导入svchost.sdb这个注册表文件。
Supplement 2 · Jul 20, 2020
- 注意,同目录下还有一个TaskGuard任务,会在系统启动时运行一个名为CacheDNS.exe的程序,该程序也是恶意程序,会添加SystemUpdateNewBackupA这个任务计划,要一起清除掉。
 |
1
ProjectSky OP  1
* 更新一下新发现,目前通过火绒的高级规则过滤到 C:\Windows\apppatch\svchost.sdb 这个文件,打开发现里面是注册表格式
``` Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "AutoConfigURL"="http://62.60.201.235:17888/rule.pac" ``` * 删除后代理设置不再被重置,但是根源还没找到。 |
Select Language