我的电脑在安装了某个软件之后,感觉被捆绑了,结果,桌面老是会被创建一个快捷方式:美女在线直播-全民TV
删除了很多次,还是会自动跳出来,任务管理器查看进程,无不良进程,估计是系统进程被注入模块了。那就把它揪出来吧。首先,我个打开火绒剑,监控桌面的文件创建,步骤如下:
过滤--动作过滤:只勾选:创建文件和写入文件,路径填:C:UsersAdministratorDesktop 包含 开始监控:开始监控之后,我们首先删除桌面已生成的 美女在线直播-全民TV.lnk,不一会,桌面再次生成了该快捷方式,而且火绒剑也捕捉到了,看图:
是c:windowssyswow64svchost.exe的进程创建的,进程PID为:6004 右键查看该文件,显示是Microsoft的系统文件,应该是被注入了DLL,怎么看呢,这时需要PCHunter64.exe,打开它,找到PID 6004的进程:svchost.exe,然后下方显示模块,果然,有一个DESKTOP.dll的DLL注入到了该进程,在该模块上右键,定位到DLL文件,没什么好说的,卸载模块并删除该文件即可,至此,元凶已找到,同样的方法还可以做很多事,举一反三,最后还是把PCHunter64的图挂上,这个图是我卸载了之后补的,你可能找不到PID 6004的进程,只是贴出来帮助使用PCHunter64.exe而已。
第二则:360安全浏览器的收藏夹老是自动收藏乱七八槽的网站,删除了之后会再次出现。
经查,需要360的收藏夹是在一个DB的数据库里边,位置:C:\Users\Administrator\AppData\Roaming\360se6\apps\data\users\default\360sefav.db
那我们就用火绒剑监控该文件的写操作吧。
查看是哪个进程创建的,同样的方法,PCHunter64.exe查看该进程的加载模块,看看是不是进程被注入DLL了。
