事情的起因

用过很多视频播放器后始终觉得potplayer是最实用的，小巧，ffmpeg内核，硬件解码强，昨天重装win10系统，要重装potplayer，百度，然后进了，http://www.secpulse.com（该地址为文中演示地址），下载地址给的是个网盘，下载，解压， 发现有个浏览器图标的setup.exe，我迷迷糊糊就点了！然后提示要管理员权限，我点击是！半天没有出现安装界面.....

然后，你懂得，我的浏览器打开直接就是3456.com了！！

首先根据以往的经验，这一般都是快捷方式作祟！属性查看快捷，快捷方式并没有参数！直接双击exe打开浏览器，也是3456.com！进程也正常，没有异常！浏览器配置也是正常的！

难道有dll模块注入？

打开Process Hacker 2，查看dll模块！发现基本都是正常的dll！

但是发现倪端， 就是发现进程启动的时候  command line有参数！ ！！

双击exe启动，后面的竟然有参数？？

难道入侵到内核了？╮(╯▽╰)╭

http://a.virscan.org/

不多说，先用http://a.virscan.org/看刚才点击的setup.exe到底做了哪些事，

记录页面：http://a.virscan.org/f77c649f2664663bbc53037226017129

部分结果

关键行为 
行为描述: 写权限映射文件 
详情信息: CiceroSharedMemDefaultS-* 
 Local\UrlZonesSM_Administrator 
 DfSharedHeap3D484A 
 \WINDOWS\system32\zh-cn\wshext.dll.mui 
 MSCTF.MarshalInterface.FileMap.MLJ..JEDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.B.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.C.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.D.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.E.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.F.JFDHH 
 MSCTF.MarshalInterface.FileMap.MLJ.G.JFDHH 
 \WINDOWS\setupapi.log 
行为描述: 常规加载驱动 
详情信息: system32\DRIVERS\Mslmedia.sys 
行为描述: 设置特殊文件夹属性 
详情信息: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files 
 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5 
 C:\Documents and Settings\Administrator\Local Settings\History 
 C:\Documents and Settings\Administrator\Local Settings\History\History.IE5 
 C:\Documents and Settings\Administrator\Cookies 
行为描述: 创建系统服务 
详情信息: [服务创建成功]: Mslmedia, system32\DRIVERS\Mslmedia.sys

整个setup.exe提权之后就只做了两件事，加一个驱动和一个服务！！

我们都知道，驱动是随系统运行的，在任务管理器看不到的！！而且Mslmedia这个服务在服务管理也看不到！！真坑啊！

收尾

接下来做的事就单间了，根据a.virscan.org的记录，删除创建的注册表值，删除system32\DRIVERS\Mslmedia.sys文件，删除Mslmedia服务！重启，ok，当然删除过程有点繁琐，服务卸载需要工具，sys文件删除需要权限！

重启，浏览器打开正常！

【原文 记录一次浏览器主页被劫持为3456的解除过程！ 安全脉搏Blackhold整理发布】