该问题原本可能是arp欺骗以及恶意的网络推广,目前实际处理了两台有此现象的真实主机。他们共同的特典是:都存在CNNIC并且感染过win32.adware.QQhelper.130560 以及win32.troj.agent.11648。
作者:zdnet安全频道 来源:论坛整理 2008年6月18日
关键字: 批处理 火狐 bho
BHO导致火狐现象的解释以及清理批处理
近期接到用户反馈使用IE浏览器打开任意网页都会有下载火狐的提示,本文旨在寻找问题原因和提供解决方案。典型截图如下:
图一
图二
该问题原本可能是arp欺骗以及恶意的网络推广,目前实际处理了两台有此现象的真实主机。
他们共同的特典是:
都存在CNNIC并且感染过win32.adware.QQhelper.130560 (对应文件是C:\WINDOWS\inf\MsnSvc64.exe)以及win32.troj.agent.11648(对应文件是C:\Windows\System32\DRIVERS\mspbwt22.sys)
其他的共性例如都有“微软盗版受害者进程”由于没有大量处理所以无法确认。
总体上看:在类似现象主机中存在很多风险程序以及恶意软件。
就这个现象本身而言,扫描sreng检测报告,将浏览器辅助对象以及explorer.exe和iexplore.exe进程中同时存在的可疑dll文件通过一些强制删除工具删除或者卸载相关dll文件即可。(注意:强制删除文件前请备份完整注册表,以免造成异常)
目前处理的两台机器都是下面的这个文件:bteqavvkerblq.dll『将这个dll在正常主机上面注册后,访问新浪网现象即可重现』中招用户可以新建记事本文档,输入内容:regsvr32 /u %systemroot%\system32\bteqavvkerblq.dll 保存为bat格式后运行即可解决。如果没有解决,请上传sreng检测报告。(本文最后提供批处理压缩包)
浏览器加载项
[]
{98836B5F-4E24-4207-952D-A5EA63C7A645} <C:\WINDOWS\system32\bteqavvkerblq.dll, >
正在运行的进程
[PID: 3468 / ym][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\WINDOWS\system32\bteqavvkerblq.dll] [, 1.0.0.0]
[PID: 3800 / ym][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\bteqavvkerblq.dll] [, 1.0.0.0]
由于该问题提交的日志量并不多,而且该现象大多以局域网arp,网络会话劫持,网络恶意推广等问题为主。所以目前暂时也无法确认具体原因。为了更广泛的寻找该问题的原因,请将sreng的检测报告以附件的形式回复此帖。(不一定解决所有提交的问题,因为有相当大的一部分是其他问题导致的)
京公网安备 11010802021500号
