火绒安全软件

标题: svchosts修改默认代理的注册表 [打印本页]

作者: yangbc 时间: 2022-7-20 16:45
标题: svchosts修改默认代理的注册表
本帖最后由 yangbc 于 2022-7-20 16:45 编辑

是这样的，最近几星期我发现代理软件电脑一段时间不用之后就会失效，一开始没在意，也不影响使用，但是这两天我发现原因是有病毒定时恶意修改我电脑的代理配置，如下图

默认的代理脚本被设定为 http://35.236.159.79/win.pac，并且有程序定期打开这个代理

代理脚本下载下来是这样，明显针对虚拟货币网站的恶意病毒，虽然我不玩虚拟货币，但是还是要解决一下
我在网上搜索过 35.236.159.79 virus ，搜索到一个和我一模一样的问题，并已解决
https://www.bleepingcomputer.com/forums/t/773954/3523615979-virus/
我跟着这个教程操作，其实也是瞎操作了一通，最终发现定时任务中有定期打开代理的设置，并清除了这个设置
这个时候虽然默认代理脚本还是存在，但是只要代理一关上就不会自动打开了
之后我偶然在注册表中发现了默认代理脚本的设置路径在：Computer\HKEY_USERS\S-1-5-21-3223899802-1931671210-4290992985-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

我先进行了一些尝试，通过修改注册表删除默认代理脚本，那个脚本也不会再出现
但是当我重启之后，注册表中又会出现默认代理脚本，推测有程序在启动时写入注册表，但是启动完之后就不会有动作了
我用火绒的高级防护来看什么应用修改了这条注册表

确实也抓到了那个进程，日志上这样显示

我根据PID去任务管理器找对应进程，但是没有什么进展我认为要找到这个进程对应的程序，然后删除
后来我网上看到process monitor可以看到有关进程的更多信息，我尝试了一下，找到了修改注册表的进程

因为我火绒阻止了它开机修改注册表，所以现在是45s尝试修改一次，PID和PATH也是对的上的
进程信息如下：

调用栈如下：

进行到现在，找到了那个进程，但是不知道该怎么搞了，请教大神！！！

作者: 火绒运营专员 时间: 2022-7-20 17:26
您好，您可以留一下您的QQ，或者麻烦您添加QQ284816209（备注帖子链接），加您QQ帮您远程处理~

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)