问题现象:没有安装过beyond电竞,客户机开机过一会总是会自动出来
问题截图:
解决方法:
1.客户机重起观察了下,开机后过一会总是会自动出来,地址栏右下角有图标,进程管理里面也有了进程,用工具看是通过调用别的进程来下发,首先发现进程iezxlnt.exe
2.这个文件挂包改名后还是会生成,设置特征码拦截,重起客户机,还是有,继续排查发现下图这个路径下还有,挂载镜像包,删除,顺便把TEMP目录清空
3.重起客户机,继续观察,过了几分钟还是有,接着重起了排查
挂载镜像包删除intel目录下的gp文件夹,重起后观察,还是有
4.发现C盘Pubgconsole目录下还是有beyond电竞的
5.挂包删除,并添加了4个特征码的拦截,后面重起2台客户机观察了30分钟,也没再出现了
文件: C:\Windows\SysWOW64\iezxlnt.exe
大小: 73728 字节
修改时间: 2018-01-10, 13:20:18
MD5: 6543B47487F9DBE30C4FD06FA5C20F7D
SHA1: 1408CD5D368D9A9FBDB7F158F69B411A9836BC89
CRC32: 7B28A671
文件: C:\Windows\Globalization\Sorting\icacls.exe
大小: 27136 字节
修改时间: 2018-08-29, 18:22:19
MD5: EEC909B778DEC1C57D3393D1C377247E
SHA1: 3D8FB7349F5586B21AE79831E0E24B5942DE8F26
CRC32: D2A26CB0
文件: C:\Users\Administrator\AppData\Local\Temp\version.exe
大小: 32256 字节
修改时间: 2018-07-27, 23:28:26
MD5: 45EA72CB908435F9F233C50F1E8BEE8C
SHA1: 328BAB9DF282C64D4715FF0DDCE8D61894485CB9
CRC32: 0E40425C
文件: C:\PubgConsole\Fileter\svbap.exe
大小: 65556 字节
修改时间: 2018-08-29, 20:00:15
MD5: 1972C8F7C08967567265F44B986E272A
SHA1: 6CA0FC6BE0673465261929AB12CEF3C16DC9D218
CRC32: CCBCD2CC
|