windows - 为什么 explorer.exe 进程会去请求player.uusee.com这个域名
本文介绍了windows - 为什么 explorer.exe 进程会去请求player.uusee.com这个域名的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
问 题
我通过fiddler抓包发现,windows的explorer.exe进程会不定时请求http://player.uusee.com/transformer/client_2011/daoshi/browseControllerEncrypt.ini这个地址,我看了一下返回的是二进制的数据,感觉这个是个流氓软件在作怪,但是又不知道从何处将其揪出来。
附请求数据包:
GET http://player.uusee.com/transformer/client_2011/daoshi/browseControllerEncrypt.ini HTTP/1.1
User-Agent: downloadSession
Host: player.uusee.com
Pragma: no-cache
HTTP/1.1 200 OK
Accept-Ranges: bytes
Age: 729
Cache-Control: max-age=600
Content-Length: 1910
Content-Type: text/plain
Date: Fri, 17 Jun 2016 07:04:57 GMT
Etag: "5099d1e-776-51d315a87b740"
Expires: Fri, 17 Jun 2016 07:04:44 GMT
Last-Modified: Thu, 13 Aug 2015 13:31:33 GMT
Server: Apache
Via: CNC-TJSX-19-24 (DLC-3.0), XNOP013-CT-JXJJ-C-234-57 (DLC-3.0)
m<[Gl_n8JPAO ;U@#
kl@]KCpE EYG@<]K;-FxzqM`u@_;EL p0!C,EJ\]5PLY^+Ln $. f8"1HO;Jw=#Q+IW9nY(2n^D-g$^n$"I;TrNPHW(9VF?X6D_
:JHS,MZ#,'_% kOM<IEM 2+}TM%IU1D%:U ;TP}9n&LVOPg|9YE[HdFK*PK#,&_% Ij,)&C"#u`&J\J2@^UKBR;FJDR#J^
W=F<_D7GDS,MZ#,'^% kOM<IEM 2+}GC)AE.FZD^ZGpJGT zKp(9Z a^:rB0@I:h%`[T2GDUP,ANVa#E*}M8 M`Wh%:v[BS2Md zFG,ZR]*H0_D)S]n+?QWi+esLYLH=|.E5X+M1nTZ)[U1D%:U ;TP@>?CZFX7=#Q+I<SR]DMH*PAKD=#\d,)6}pHJJfM)BBot%:XOG3 ^PZ-(9[ c,>*
k(/@\MJl{b"_BEka#D3i#S&J;TP
&<OA\A(9VF?B:TLKwo[@GpE ESG)S]BJSzApp0!OTG+LMCp0![?[YLH@j3QRQ@U]>Ui(/3GGYKC-yG_^Mk(+N.2[2"3bX4ZSEc%:@\YG+LMJrCQ!QV|@:LQnT/~O[A)CB+eeC^@g4Ab-C)gbU_4 .EIIHOC+ZM\\XoHZM]#@S6DM7LnZK2 1vb'M+7)SL8bUkS#XYCZ~D2[LW@nF\N9YzY*QYT*x(TKLI^y.IwYDHP,VBJG>70bM)]Ri.FXoYTFSc z^L!UC|U&U[SEK*@z*OXMWS,QK@Y{1LFK*3^ (0bE5;TDQQ]MtF1YwPCVG6D_c,>>IHT)zU1Vj^]O*yF^U[R8Ip'M>!M[AVi+[D
EI_FdIAJP2FVG6D0_D-WD0USGCC, DCUGP~oN&4(T-OVFp@FY 7pP7LD]Dn8JPAO %E"JK4(/&%`Wo_% kOM<IEz'M5, ]nXp^D[S#P}9L}9YzR:UE@hxS,nk@k;Hu':QmCHO*O5MvnnYo$"H ~d@MY oA\TZ?NU7\Q*@@pEZEE^I.@LOCBP6UH@ .tCvoYN3ZIF7JG^u$@X4'&L_Fb6S bwi%`Vhs=dX]P)+/])(!Y5]CSpJG]MDFlL\^GZ0LPLZ|bMA*NQ1V\K@~fARC@$.`OD&.O!/`&J/@A_0LfQ@XjFETBs)IVPh&TG6Uuqv@;kPLOe;HMXL\<(+j!4O5&, q\;T]A]HN S#sZBU\'x>)]=H@:]Ljn+?mIp;Twas'M+-5P[5BUkS#BE@M^D2QYCo
DTC}MQ'FG6H
.RC^J?_@% XHW I@Z/N"@zq0!$HVZ?PE_IXn$"SXC@2I\'UDiS.R(K#,6GxFQPi6ADrq'M"&MG!CIR; 7AC3Y]KAB]4QC|UB}\LP/F1K8"OUJQg_MAk.E$O! +!Df/Kn$"ZXP[C,EEGEz
P[}MQ'FG6H(TNT[:BG'k LOT/EF)F&
/YNsW+<4\E@XOGcA\M]J3U\Q@ A&CLAwFJ3+?@]v2GeETLd,)+%L&9pD$S#BE@M^D2QYCo
E
_&0_D)SMD-vYIcI:CZ=#@<CqO.9g("u M`解决方案
可能的原因很多:
Hook、远程线程注入、dll劫持等等都可以做到,所有可能性都指向一个原因:你中毒(中流氓软件了)
最优解决方案是重装系统,要注意重装过程的安全:
使用官方镜像
盗版的话,找个或搭个 kms 服务器用 kms 命令激活激活系统,千万别用百度搜破解工具
如果想正面挑战一下这些问题话,有以下思路:
用 Autoruns 查各类启动项和加载项有无异常
用 Process Exploer 查 exploer.exe 的 dll 模块有无异常,但是这要求你对于 windows 的 dll 环境很熟悉,不行的话就只能按路径排查一下了。
如果你确信这两种都没找到 Explorer 出问题的原因,恭喜你可能中了 Rootkit 木马,重装吧。
这篇关于windows - 为什么 explorer.exe 进程会去请求player.uusee.com这个域名的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文
