你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

【Procmon开机启动排查】客户机桌面游戏图标广告满屏飞?游戏小哥来教你怎么查!

Procmon开机启动:

start C:\Procmon\Procmon.exe /accepteula /quiet

也可以注册表:【这样启动的比较早,经测试,安全模式也加载】

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="c:\\windows\\system32\userinit.exe,C:\\Procmon\\Procmon.exe /accepteula /quiet" 

服务器挂载镜像包把Procmon文件夹放在C盘根目录,然后把上面批处理添加开机启动,如果放在了其他盘符,注意修改批处理路径

 

 问题现象:桌面和任务栏开机生成游戏图标

使用工具:Procmon.rar

排查方法:
1、  通过进程监视工具发现图标是由系统进程Rundll32.exe调用的,查看文件属性可以看到命令行中有个EWdUS.dll文件,找到这个文件路径发现u4c3se.exe;
1.jpg
2、由于是开机就生成了,所以服务器上把Procmon.exe工具放在镜像包,设置开机启动排查;
3、排查过程图如下
2.jpg
其实到此就已经可以看出广告是属于谁了的,u4c3se.exe这个进程是由Fnewcd.exe这个进程创建的,在第一张图中可以明确看到Fnewcd.exe这个进程是挂在ChecKUdo.exe下面的,是的你没看错,就是嘟嘟牛!为了查看调用关系,游戏小哥还是顺藤摸瓜找了下去;
3.jpg4.jpg5.jpg

 

好了,既然已经知道广告是谁的了,该打电话打电话,该找客服找客服,游戏小哥先闪一步,拜拜了您呐!


[本日志由 lq3447 于 2017-06-18 01:26 AM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 197
发表评论
你没有权限发表留言!