本帖最后由 1c3Cre4m 于 2017-11-27 15:51 编辑
问题现象:
有家网吧反映开机什么都不做,等五分钟左右客户机的右下角会弹出上网垃圾过多,影响电脑速度的广告。网吧老板怀疑是什么软件推送的广告,但是我感觉不像,所以做了一个排查。
排查过程:
1.用procexp检测产生弹窗的进程(拖动瞄准的图标到弹出的窗口上)。查出来是对应的是nsdaz.exe进程,如果查出来是explorer这类正常的进程,那就是是进程下挂载的dll产生的,这个排查就稍微复杂点。
2.重启客户机看是nsdaz.exe这个进程是如何产生的。将Procmon设置开机启动,弹窗出现后停止捕获。然后把记录拖到最开始按ctrl+f,搜索nsdaz这个关键词。从下图可以看出是d1q1tps.exe这个进程生成的nsdaz.exe进程。
3.d1q1tps.exe这个进程还是看不出来是怎么产生的。所以接着在Procmon排查,搜索d1q1tps这个关键词。可以看出是是QQprotect.exe进程产生的,并且目录也能看出来。这个时候有两种情况,腾讯开机生成或者之前开客户机开超级写进包里了。
4.服务器挂载镜像包。发现这个目录下有这个文件夹,然后改名这个目录。重启客户机没有出现弹窗的问题了。
问题原因:
目前来看基本上所有的腾讯软件都会生成这个目录,网吧之前开超级装过腾讯的相关软件。超级记录了这个弹窗的状态,所以就算腾讯没有下发广告,这个弹窗还是会有的。改名之前的QQprotect.目录,让软件运行的时候重新生成一个新的QQprotect.目录就可以了。
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
