- 最后登录
- 2011-6-22
- 在线时间
- 296 小时
- 注册时间
- 2007-6-14
- 阅读权限
- 70
- 帖子
- 202
- 精华
- 32
- UID
- 1438528
 
- 铜钱
- 635
- 元宝
- 0
- 威望
- 1022
- 积分
- 728
|
发表于 2007-10-31 20:12:32
|显示全部楼层
近期接到用户反馈使用IE浏览器打开任意网页都会有下载火狐的提示,本文旨在寻找问题原因和提供解决方案。典型截图如下:
( W* N' D7 w* w3 k( g1 L1 x( z. H; a; h* z7 ~3 i: ?0 L$ `
+ Y9 M3 K$ s e8 _6 k# Y: b) V& s
" ]9 O8 }# [. t4 \) n7 ?8 g- V, K e! Q% f8 @! Z7 h1 Z
8 y2 O v; L4 j( ^7 F C) ~该问题原本可能是arp欺骗以及恶意的网络推广,目前实际处理了两台有此现象的真实主机。 ]2 {4 o7 y* o- D1 m
他们共同的特典是:% u6 a9 E$ q% p ?4 H# K
都存在CNNIC并且感染过win32.adware.QQhelper.130560 (对应文件是C:\WINDOWS\inf\MsnSvc64.exe)以及win32.troj.agent.11648(对应文件是C:\Windows\System32\DRIVERS\mspbwt22.sys)' j Y% @1 l) v4 n" [+ w& a6 H) F
其他的共性例如都有“微软盗版受害者进程”由于没有大量处理所以无法确认。8 k& B/ f: X0 H
总体上看:在类似现象主机中存在很多风险程序以及恶意软件。- i/ Q6 a* s! m V4 q
7 d' i3 m. \) s) E- Q3 x: D
就这个现象本身而言,扫描sreng检测报告,将浏览器辅助对象以及explorer.exe和iexplore.exe进程中同时存在的可疑dll文件通过一些强制删除工具删除或者卸载相关dll文件即可。(注意:强制删除文件前请备份完整注册表,以免造成异常)
$ d# G5 h' k$ Z1 d/ s+ h: U$ F- B
) R1 d# {! \( H. b2 _
8 B. Q* _5 K! v$ y- ^! `0 t7 s3 T8 h6 {目前处理的两台机器都是下面的这个文件:bteqavvkerblq.dll『将这个dll在正常主机上面注册后,访问新浪网现象即可重现』中招用户可以新建记事本文档,输入内容:regsvr32 /u %systemroot%\system32\bteqavvkerblq.dll 保存为bat格式后运行即可解决。如果没有解决,请上传sreng检测报告。(本文最后提供批处理压缩包)1 U0 ~: I) ~, g5 h) _
9 Z8 C( ]/ j3 ?- N浏览器加载项9 C9 x4 `" J( d
6 M7 _' A9 e# e; n' O+ i& l/ b[]
5 X1 K/ w3 C" M* ~/ j& P% H+ | {98836B5F-4E24-4207-952D-A5EA63C7A645} <C:\WINDOWS\system32\bteqavvkerblq.dll, >$ N2 t: q9 z9 E/ _% ]& A
- }. A) x$ E% g, V6 W) D, B3 b# f) O- y0 s: T9 u
1 R0 u6 Z; z, I1 g
正在运行的进程
# u, S* q2 C" i, W. }6 x[PID: 3468 / ym][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]: I2 U& I3 X9 Y: Q2 E
[C:\WINDOWS\system32\bteqavvkerblq.dll] [, 1.0.0.0]
8 M( z. Y9 k: L! k' s: K$ |! M3 |& ]1 a O8 |! b" y7 ^1 I0 r" ~
[PID: 3800 / ym][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]! X0 e0 N& ]2 H \
[C:\WINDOWS\system32\bteqavvkerblq.dll] [, 1.0.0.0]: o; E" y6 w3 ?, f7 B1 ~! `) G
8 s( f& r% A7 U- Z2 ?
7 }& [& Q$ J d' z1 l- P1 t& T6 L1 T0 i" Y' I: u5 x' R
由于该问题提交的日志量并不多,而且该现象大多以局域网arp,网络会话劫持,网络恶意推广等问题为主。所以目前暂时也无法确认具体原因。为了更广泛的寻找该问题的原因,请将sreng的检测报告以附件的形式回复此帖。(不一定解决所有提交的问题,因为有相当大的一部分是其他问题导致的)
- E" w/ \' X# U- F* `. f/ M3 _5 C( { 6 h- }! j$ }6 D7 ^8 H% u# j9 N
谢谢合作!
- Y: X; l' ~0 x& v0 i, S/ [3 L% z3 s' Z
! `5 a+ B6 N9 A+ g) B' I- [1 [0 D0 i1 E! }! j" j7 Z6 N
3 m/ ?3 n( U& c; }2 K% Q! s6 S
6 b- r0 J" t) q4 s0 _[ 本帖最后由 papa 于 2008-1-21 22:45 编辑 ] |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
