关于火狐耍流氓的处理思路

火狐, 耍流氓, 思路

近期接到用户反馈使用IE浏览器打开任意网页都会有下载火狐的提示，本文旨在寻找问题原因和提供解决方案。典型截图如下：" z; Y" Q" r- n8 m2 `9 w" T

3 X5 J) T& [+ v( p, _

该问题原本可能是arp欺骗以及恶意的网络推广，目前实际处理了两台有此现象的真实主机。
他们共同的特典是：5 X/ I4 |2 r" Z' z' Q
都存在CNNIC并且感染过win32.adware.QQhelper.130560 (对应文件是C:\WINDOWS\inf\MsnSvc64.exe)以及win32.troj.agent.11648(对应文件是C:\Windows\System32\DRIVERS\mspbwt22.sys)
其他的共性例如都有“微软盗版受害者进程”由于没有大量处理所以无法确认。
总体上看：在类似现象主机中存在很多风险程序以及恶意软件。+ O* }  Q( e8 {6 N4 a
. |3 q2 t* A: ?0 |
就这个现象本身而言，扫描sreng检测报告，将浏览器辅助对象以及explorer.exe和iexplore.exe进程中同时存在的可疑dll文件通过一些强制删除工具删除或者卸载相关dll文件即可。（注意：强制删除文件前请备份完整注册表，以免造成异常）8 y, @* R1 N: |1 S
6 F4 Y  R. O% E5 X! o+ j

目前处理的两台机器都是下面的这个文件：bteqavvkerblq.dll『将这个dll在正常主机上面注册后，访问新浪网现象即可重现』中招用户可以新建记事本文档，输入内容：regsvr32 /u %systemroot%\system32\bteqavvkerblq.dll 保存为bat格式后运行即可解决。如果没有解决，请上传sreng检测报告。（本文最后提供批处理压缩包）" M' q+ s+ p: o* C( U; {7 [  r# m
$ U* y& P, m8 w
浏览器加载项3 @/ n1 j  D2 u# @$ Y, C' _8 f# T

[]& q& b# K8 @9 H7 N3 _: H" `5 i
  {98836B5F-4E24-4207-952D-A5EA63C7A645} <C:\WINDOWS\system32\bteqavvkerblq.dll, >

1 e$ A5 q5 _/ T  e  e' V

正在运行的进程! h, J7 G4 M0 K  `2 V: @1 A
[PID: 3468 / ym][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]5 u1 e# g$ T" ^* U5 D) w, R( h- t
[C:\WINDOWS\system32\bteqavvkerblq.dll]  [, 1.0.0.0]) l) [5 V. N1 L2 k. k1 Q+ U
: g; C; N3 r, u
[PID: 3800 / ym][C:\Program Files\Internet Explorer\iexplore.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\bteqavvkerblq.dll]  [, 1.0.0.0]3 `# |$ w" x% U2 T8 m
1 H1 D% u7 D6 m. F) H: G

由于该问题提交的日志量并不多，而且该现象大多以局域网arp，网络会话劫持，网络恶意推广等问题为主。所以目前暂时也无法确认具体原因。为了更广泛的寻找该问题的原因，请将sreng的检测报告以附件的形式回复此帖。(不一定解决所有提交的问题，因为有相当大的一部分是其他问题导致的)* [7 h8 Q5 E- j) u4 }! D) O, r* B
                                             ( `; |/ H9 i6 c0 j6 r
                                                                                                            谢谢合作！& C1 M; G/ Y7 p9 Z, Z- D

[ 本帖最后由 papa 于 2008-1-21 22:45 编辑 ]