网吧三国
标题:
奥比特收费环境下,任务栏闪退或卡死
[打印本页]
作者:
小飞飞的熊猫
时间:
2017-6-2 23:21
标题:
奥比特收费环境下,任务栏闪退或卡死
本帖最后由 小飞飞的熊猫 于 2017-6-2 23:21 编辑
问题现象:网吧客户机开机两分钟出现任务管理器卡死或是闪退。然后发现任务管理器下面有加载可疑的dll文件。
:
(, 下载次数: 71)
上传
点击文件名下载附件
(由于任务管理器下的之前没有截图,但是taskhost.exe也有注入这个dll,所以发下这个图)
(这里有个怪问题,出现闪退之前的两分钟能看dll的所属目录是有文件的,出现闪退后,文件就看不到了。但是通过pchunter定位到文件管理器又是可以看到的)
(, 下载次数: 59)
上传
点击文件名下载附件
(, 下载次数: 61)
上传
点击文件名下载附件
,
打开
msvcr32.dll目录
(, 下载次数: 65)
上传
点击文件名下载附件
发现和之前出现嘟嘟牛环境下的任务栏闪退指定的网址是一样的 (
http://www.583go.com/article-1797-1.html
)
使用processmonitor工具定位,看开机是什么生成的
msvcr32.dll文件
(, 下载次数: 66)
上传
点击文件名下载附件
查到是asnew2.exe进程生成的
msvcr32.dll
系统进程svhost.exe创建了
asnew2.exe,然后asnew2.exe进程生成了msvcr32.dll,在svchost.exe下面发现有任子行的dll文件注入。
然后提取
asnew2.exe进程的特征码:5AB5F2AA5240F82D72F5E864CC2ABBC6,添加到安全中心的特征码拦截掉,并且也把这个进程名添加到进程拦截了
(, 下载次数: 67)
上传
点击文件名下载附件
但是发现任务管理器还是有闪退的情况
解决办法:
把配置文件里面的那个ip在路由器上屏蔽掉,就好了
。
(, 下载次数: 50)
上传
点击文件名下载附件
(, 下载次数: 64)
上传
点击文件名下载附件
欢迎光临 网吧三国 (http://583go.com/)
Powered by Discuz! X3.4