技术分享 beyond电竞总是自动安装启动 [复制链接]

技术中心 25952 0 2018-9-6 23:13:19
问题现象:没有安装过beyond电竞,客户机开机过一会总是会自动出来
问题截图:
QQ截图20180906225311.jpg
解决方法:
1.客户机重起观察了下,开机后过一会总是会自动出来,地址栏右下角有图标,进程管理里面也有了进程,用工具看是通过调用别的进程来下发,首先发现进程iezxlnt.exe
QQ截图20180906223927.jpg
2.这个文件挂包改名后还是会生成,设置特征码拦截,重起客户机,还是有,继续排查发现下图这个路径下还有,挂载镜像包,删除,顺便把TEMP目录清空
QQ截图20180906224317.jpg
3.重起客户机,继续观察,过了几分钟还是有,接着重起了排查
QQ截图20180906230615.jpg
挂载镜像包删除intel目录下的gp文件夹,重起后观察,还是有
4.发现C盘Pubgconsole目录下还是有beyond电竞的
QQ截图20180906224613.jpg
5.挂包删除,并添加了4个特征码的拦截,后面重起2台客户机观察了30分钟,也没再出现了
文件: C:\Windows\SysWOW64\iezxlnt.exe
大小: 73728 字节
修改时间: 2018-01-10, 13:20:18
MD5: 6543B47487F9DBE30C4FD06FA5C20F7D
SHA1: 1408CD5D368D9A9FBDB7F158F69B411A9836BC89
CRC32: 7B28A671

文件: C:\Windows\Globalization\Sorting\icacls.exe
大小: 27136 字节
修改时间: 2018-08-29, 18:22:19
MD5: EEC909B778DEC1C57D3393D1C377247E
SHA1: 3D8FB7349F5586B21AE79831E0E24B5942DE8F26
CRC32: D2A26CB0

文件: C:\Users\Administrator\AppData\Local\Temp\version.exe
大小: 32256 字节
修改时间: 2018-07-27, 23:28:26
MD5: 45EA72CB908435F9F233C50F1E8BEE8C
SHA1: 328BAB9DF282C64D4715FF0DDCE8D61894485CB9
CRC32: 0E40425C

文件: C:\PubgConsole\Fileter\svbap.exe
大小: 65556 字节
修改时间: 2018-08-29, 20:00:15
MD5: 1972C8F7C08967567265F44B986E272A
SHA1: 6CA0FC6BE0673465261929AB12CEF3C16DC9D218
CRC32: CCBCD2CC


您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29068 个
  • 话题数: 9635 篇
  • 巅峰数: 5500 人