本帖最后由 1c3Cre4m 于 2019-9-24 16:57 编辑
问题现象:
网吧反馈客户机从菜单运行所有游戏都会弹IE浏览器,现象如下:
排查过程:
1.查看纯易乐游环境(取消计费和开机启动项的环境)是否会弹出,发现纯易乐游也会弹
2.用process monitor查看是Detail行是什么程序吊起的iexplore.exe进程,如下:
发现是DesktopLayer.exe进程调用了cmd,运行了命令‘C:\Program Files\Internet Explorer\iexplore.exe’,从而弹出了IE浏览器。
程序路径是在C:\Program Files (x86)\Microsoft 里,但是挂载镜像查看相同路径是没有这个文件的。接着使用process monitor查看是什么进程生成的DesktopLayer.exe程序,如下:
发现是游戏目录下的menusrv.exe进程创建并启动的DesktopLayer.exe进程,menusrv.exe是易乐游的菜单进程menu.exe创建的,怀疑是易乐游游戏文件有问题,联系易乐游的技术询问,他们那边发现我这里的menu文件和他们资源里面的menu文件大小不一样,正常的如下:
网吧的如下:
正常的menu.exe只有1255kb,而这个网吧是1312kb,完整修复后大小恢复正常变成1255kb。尝试重启客户机运行游戏试试,但是重启后运行游戏依然会弹出IE浏览器。
3.继续用process monitor工具查看,发现是启动游戏调用公共组件的时候,公共组件的进程MatrixMenu.exe生成了MatrixMenuSrv.exe,MatrixMenuSrv.exe进程生成了DesktopLayer.exe,DesktopLayer吊起了IE。
4.和易乐游官方的技术对比了下MatrixMenu.exe进程的大小,发现这个文件也被篡改了。正常是2031kb,而我这边不是。服务端资源中心完整修复游戏公共组件这个资源后,重启客户机测试梦三国2,发现能正常启动游戏不会弹IE浏览器了。
5.在服务器检查其他的游戏,发现有问题的游戏menu.exe都是被篡改过的,完整修复后客户机运行就不会弹IE浏览器了。
6.问题基本上可以确认是服务器中病毒了,后续为了保险服务器进行了格盘重做。
|