所在位置:
首页 >
营销资讯 >
网站运营 > 删除杭州微通新成,microdone.cn,这个流氓中的流氓
删除杭州微通新成,microdone.cn,这个流氓中的流氓
时间:2023-05-21 16:56:01 | 来源:网站运营
时间:2023-05-21 16:56:01 来源:网站运营
删除杭州微通新成,microdone.cn,这个流氓中的流氓: 这几天监控总是告警提示关键系统文件host正在被非法篡改,打开host文件发现里面增加了一条记录:
192.168.0.1
http://windows10.microdone.cn ,这是个什么东西???于是直接删掉,可是没过一会儿又提示host被非法篡改,上去一看 这条又回来了 变成了 127.0.0.1
http://windows10.microdone.cn , 于是删除几次观察一下。
我发现没次删掉这条记录以后 这个ip就会变成另一个地址。厉害了,还带随机更换的。
我尝试把host文件改成只读属性,结果仍然能被强势插入,我搜了一下
http://microdone.cn这个网站,是一个叫杭州微通新成的安全公司...我说这么厉害呢,做安全的公司搞个个人电脑那不是轻松愉快?于是又搜了下关于怎么解决非法篡改host的文章,参考了一下 一块基因砖:windows10 代理频繁被自动篡改 windows10.microdone.cn的解决办法亲测 ,但是我发现这个流氓工具应该升级了,按照文章里的方法根本找不到注册表里的相关项。于是装上了火绒看看火绒能不能阻止随便篡改host文件。然而让我失望的是 火绒啥反应都没有,host仍然被插的很开心。
忙完了手头的工作,闲下来开始按个梳理windows里的进程,看看到底是哪个东西在往host里插数据。排查了一通之后,发现3个可疑进程 PBCCRCPassGuardXInputService.exe PBCCRCPassGuardXInput.exe PBCCRCPassGuardX.exe ,干掉这三个进程以后host文件 不在被改写,找到这几个文件的位置,搜一下是干嘛的,银联征信控件... 毫不犹豫的卸掉这个流氓垃圾。整个世界都清净了
后来我发现Hosts 文件被修改? 这个提问跟我的 方式一样。呵呵
在线咨询
