t999主页劫持/篡改木马

用了假的小马激活，然后就是各种浏览器主页被劫持/篡改到t999.cn
和以前中过招的wmi脚本病毒不一样，这次所有浏览器的快捷方式并没有被改
但是据有的网友用进程监控看到如下

说明了是被注入了隐藏进程，所以也不关注册表的事

Solution：
比较老的木马了，用常见的杀毒软件（开启云查杀或者更新最新的病毒库）都能查杀
我的查出来病毒是c:\windows\system32\drivers\mssafel.sys
看过一些以前的网帖说是mslmedia.sys，看来这个木马也是在与时俱进

该病毒运行后会释放并加载多个驱动，驱动加载后会隐藏自身文件，劫持网络并注入 dll 模块到指定的浏览器和杀软进程，进行浏览器劫持和杀软对抗。
引自：“黑白通吃”的浏览器劫持木马