与黑产的一次对抗

常在河边走，哪有不湿鞋

症状

电脑被安上了一堆垃圾软件，什么2345浏览器，什么乱七八糟的壁纸软件wifi软件大概7 8 个

当天看到桌面弹色情小广告就开始了一波大清洗，卸载完毕很舒服，第二天开机也没啥问题

但就在第二天晚上8点，他来了。。。

装了波腾讯管家，没查出啥，就放心继续卸载过了3天也没啥大问题

但是到了第五天，没错，他又来了，看来是个狠角色迫不得已开始了一波分析

分析

当时让dalao帮我看了看猜测是装了个驱动，至于静默安装还有不断安装当初以为是计划任务但看了看没找着，回宿舍后用虚拟机+pch分析了波

因为pch能看到驱动顺序嘛，病毒是某游戏修改器，因为台式机吧UAC关了一不小心双击到就给安上了

双击修改器发现有个驱动出现了

重启一波发现驱动还在

那应该就是他了

跟进目录下康康

所以说

鲁大师biss

天天搞这种捆绑

下一步就是摘驱动了，当然我本来以为就这？？？

第二天去台式机上一看并没有这个驱动

那问题来了，他是怎么自动静默安装上去的呢？

百度了波驱动名，大致了解了，开冲注册表

全删光就没事了，因为注册了服务导致会自动安装