V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
ProjectSky
V2EX  ›  问与答

代理被莫名其妙的自动设置

  •  
  •   ProjectSky · 2020-07-01 09:01:20 +08:00 · 1906 次点击
    这是一个创建于 1367 天前的主题,其中的信息可能已经有所发展或是发生改变。
    • 系统 win10(1909)
    • 系统中的代理总被自动设置到一个陌生的 pac 代理上去,打开 chrome 的时候发现下方提示正在下载代理脚本就察觉到不对劲,打开代理设置,发现被指向到 http://62.60.201.235:17888/rule.pac 这个地址,查看内容发现都是劫持列表内的网址到一个 SF 网站。
    • 将代理设置清空关闭,过几秒又会被重新设置回去。
    • 用 ProcessMonitor 查找过是什么进程操作了相关注册表,结果操作进程显示都是 regedit?
    • 启动项没发现异常,服务和计划任务里也没什么奇怪的东西
    • 目前用组策略禁用了修改代理,但是电脑里肯定是有什么东西在搞鬼。
    第 1 条附言  ·  2020-07-20 08:57:51 +08:00
    • 已解决,通过搜索C:\Windows\System32\Tasks下的任务计划找到了名为SystemUpdateNewBackupA的计划任务,将其删除后恢复正常。
    • 该任务计划调用regedit导入svchost.sdb这个注册表文件。
    第 2 条附言  ·  2020-07-20 09:02:00 +08:00
    • 注意,同目录下还有一个TaskGuard任务,会在系统启动时运行一个名为CacheDNS.exe的程序,该程序也是恶意程序,会添加SystemUpdateNewBackupA这个任务计划,要一起清除掉。
    1 条回复    2020-07-01 09:37:46 +08:00
    ProjectSky
        1
    ProjectSky  
    OP
       2020-07-01 09:37:46 +08:00   ❤️ 1
    * 更新一下新发现,目前通过火绒的高级规则过滤到 C:\Windows\apppatch\svchost.sdb 这个文件,打开发现里面是注册表格式

    ```
    Windows Registry Editor Version 5.00

    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
    "AutoConfigURL"="http://62.60.201.235:17888/rule.pac"
    ```
    * 删除后代理设置不再被重置,但是根源还没找到。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2847 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 14:30 · PVG 22:30 · LAX 07:30 · JFK 10:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.