- 积分
- 707
- 威望
- 976
- 元宝
- 0
- 铜钱
- 613

|
1楼
发表于 2007-10-31 20:12
| 只看该作者
近期接到用户反馈使用IE浏览器打开任意网页都会有下载火狐的提示,本文旨在寻找问题原因和提供解决方案。典型截图如下:" z; Y" Q" r- n8 m2 `9 w" T
, `# a" e; Y, m: S0 t
' F6 y/ {9 ]: u9 W+ S, n% h; ^
7 }+ d4 T) j2 b6 A) `% }3 X5 J) T& [+ v( p, _
: m* B" b6 Z% A! b该问题原本可能是arp欺骗以及恶意的网络推广,目前实际处理了两台有此现象的真实主机。
' P3 q* k; Q3 U, @" G( D他们共同的特典是:5 X/ I4 |2 r" Z' z' Q
都存在CNNIC并且感染过win32.adware.QQhelper.130560 (对应文件是C:\WINDOWS\inf\MsnSvc64.exe)以及win32.troj.agent.11648(对应文件是C:\Windows\System32\DRIVERS\mspbwt22.sys)
) i0 i- a4 g* l6 M2 ~( o/ K其他的共性例如都有“微软盗版受害者进程”由于没有大量处理所以无法确认。
1 U0 m% S, d% @4 l0 \! V总体上看:在类似现象主机中存在很多风险程序以及恶意软件。+ O* } Q( e8 {6 N4 a
. |3 q2 t* A: ?0 |
就这个现象本身而言,扫描sreng检测报告,将浏览器辅助对象以及explorer.exe和iexplore.exe进程中同时存在的可疑dll文件通过一些强制删除工具删除或者卸载相关dll文件即可。(注意:强制删除文件前请备份完整注册表,以免造成异常)8 y, @* R1 N: |1 S
6 F4 Y R. O% E5 X! o+ j
" G( X5 A, K( y4 N6 v. j+ N q目前处理的两台机器都是下面的这个文件:bteqavvkerblq.dll『将这个dll在正常主机上面注册后,访问新浪网现象即可重现』中招用户可以新建记事本文档,输入内容:regsvr32 /u %systemroot%\system32\bteqavvkerblq.dll 保存为bat格式后运行即可解决。如果没有解决,请上传sreng检测报告。(本文最后提供批处理压缩包)" M' q+ s+ p: o* C( U; {7 [ r# m
$ U* y& P, m8 w
浏览器加载项3 @/ n1 j D2 u# @$ Y, C' _8 f# T
; c6 s* h2 Z7 h' b# c* _[]& q& b# K8 @9 H7 N3 _: H" `5 i
{98836B5F-4E24-4207-952D-A5EA63C7A645} <C:\WINDOWS\system32\bteqavvkerblq.dll, >
! o: x1 o; n& @0 d. ?
, P0 W" R- {1 f8 Y. t/ _) S1 e$ A5 q5 _/ T e e' V
9 \5 \# o" w/ f! e1 _% y正在运行的进程! h, J7 G4 M0 K `2 V: @1 A
[PID: 3468 / ym][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]5 u1 e# g$ T" ^* U5 D) w, R( h- t
[C:\WINDOWS\system32\bteqavvkerblq.dll] [, 1.0.0.0]) l) [5 V. N1 L2 k. k1 Q+ U
: g; C; N3 r, u
[PID: 3800 / ym][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
. _$ U' L" P* T/ z* q9 o; ?; s[C:\WINDOWS\system32\bteqavvkerblq.dll] [, 1.0.0.0]3 `# |$ w" x% U2 T8 m
1 H1 D% u7 D6 m. F) H: G
7 D9 W$ t; ]- W2 [
. ?2 u& a* o2 L% u i! v/ L8 r由于该问题提交的日志量并不多,而且该现象大多以局域网arp,网络会话劫持,网络恶意推广等问题为主。所以目前暂时也无法确认具体原因。为了更广泛的寻找该问题的原因,请将sreng的检测报告以附件的形式回复此帖。(不一定解决所有提交的问题,因为有相当大的一部分是其他问题导致的)* [7 h8 Q5 E- j) u4 }! D) O, r* B
( `; |/ H9 i6 c0 j6 r
谢谢合作!& C1 M; G/ Y7 p9 Z, Z- D
2 ~1 o4 Z4 E \4 e" \
% {0 M% k* l- ]! L0 f
% a! B Y2 L# o$ s3 c& o
: H% I0 |5 S o[ 本帖最后由 papa 于 2008-1-21 22:45 编辑 ] |
|