RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 问题分享 » 正文

客户机出现异常广告声音问题排查思路分享

选择字号: 超大 标准 小哥 发布于2016年08月10日 属于 问题分享 栏目  0个评论 6010人浏览

【问题描述】

客户机打完一局游戏后出现异常广告声音


【排查思路】

有异常声音先从音频合成器入手,使用processexplorer瞄准器对准音量合成器窗口,查找该进程的句柄,需要选择process类(不是加载项)

举例:

QQ截图20160810104312.png


网吧实际情况如下图,带声音的进程是IE进程,被其他程序追加了http参数,IE默认打开了一个so91.com的url然后才有声音,这里的声音其实就是来自后面这串URL的地址

QQ图片20160810103745.png

1.png


再去查这个IE是谁创建出来的


2.png

3.png

4.png

5.png

6.png

7.png

8.png


证据到这里的时候,我们重新梳理了下大致的思路

10.png


因为上述证据最早追朔到svchost.exe后来就怀疑是不是有服务被篡改了,最终确认为是机器内多了一个servicename的服务


11.png


【解决办法】

1、检查出先问题的机器是否存在该服务,有的话删除服务即可。删除方法sc delete ServiceName,任务管理器找到srvany.exe结束掉,并去system32把这个程序删除

2、不想开超级的话就挂包,把这个system32\srvany.exe删除


【思路分析】

1、先定位到广告程序进程,使用processexplorer工具

2、再根据进程创建原则寻找该程序的父进程或者文件创建记录,参考windowsmonitor、processmonitor、网维大师菜单日志

3、对比srvany.exe文件创建日期跟还原点记录,是不是开超级时候带进去的,这个很重要很重要!因为正常操作系统是没有这个服务的。

12.png

13.png


【补充】

开超级的时候把计费机网线拔掉或者关闭计费软件、包括第三方辅助应用


声明: 本文由(顺网小哥)原创编译,转载请保留链

标签:病毒木马增值漏洞

1
右侧2016一起努力
最新发布的文章
最新评论