Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou

呀，进不去系统了啊......没看 APPEND

@yulihao 现在恢复了系统备份，还在一月份的备份里就已经有这些可疑请求了
可惜我开箱的时候没做全盘备份，不然这锅就好扔了
我打算有空的时候再处理了，感谢各位关注

append 数量满了，后续内容更新到回复里

我是这样想的，既然安全模式是干净的，那现在肯定是有流氓在

1. dns request from C:\WINDOWS\system32\svchost.exe -k NetworkService -p -s Dnscache
2. disable dnscache REG add "HKLM\SYSTEM\CurrentControlSet\services\Dnscache" /v Start /t REG_DWORD /d 4 /f
3. source to C:\WINDOWS\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbService
4. NcbService (Network Connection Broker 允许 Windows 应用商店应用从 Internet 接收通知的代理连接。) ncbservice.dl
5. NcbService 依赖 连接设备平台服务（此服务用于连接设备平台方案）
6. 禁用 Network Connection Broker 服务
7. MsMpEng.exe （ Antimalware Service Executable ）发出 dns 请求（ C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2003.8-0\MsMpEng.exe ）
8. 关闭 windows defender （ reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f ）
9. C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Winmgmt(Windows Management Instrumentation) WMI 服务
10. wmi 相关文档 url https://www.freebuf.com/articles/system/187792.html
11. wmi 检测工具 https://www.slideshare.net/Hackerhurricane/detecting-wmi-exploitation-v11

_______________________
以上是今天的进度，初步缩小范围至 wmi

没能找到任何 wmi 事件。。。。。

蹲一波后续
如果是 OEM 的锅可以跟联想服务反馈（？）

这件事还有后续嘛