客户机开机五分钟后出现QQ浏览器弹窗的排查思路

问题现象：
有家网吧反映开机什么都不做，等五分钟左右客户机的右下角会弹出上网垃圾过多，影响电脑速度的广告。网吧老板怀疑是什么软件推送的广告，但是我感觉不像，所以做了一个排查。


排查过程：
1.用procexp检测产生弹窗的进程（拖动瞄准的图标到弹出的窗口上）。查出来是对应的是nsdaz.exe进程，如果查出来是explorer这类正常的进程，那就是是进程下挂载的dll产生的，这个排查就稍微复杂点。


2.重启客户机看是nsdaz.exe这个进程是如何产生的。将Procmon设置开机启动，弹窗出现后停止捕获。然后把记录拖到最开始按ctrl+f，搜索nsdaz这个关键词。从下图可以看出是d1q1tps.exe这个进程生成的nsdaz.exe进程。


3.d1q1tps.exe这个进程还是看不出来是怎么产生的。所以接着在Procmon排查，搜索d1q1tps这个关键词。可以看出是是QQprotect.exe进程产生的，并且目录也能看出来。这个时候有两种情况，腾讯开机生成或者之前开客户机开超级写进包里了。

4.服务器挂载镜像包。发现这个目录下有这个文件夹，然后改名这个目录。重启客户机没有出现弹窗的问题了。


问题原因：
目前来看基本上所有的腾讯软件都会生成这个目录，网吧之前开超级装过腾讯的相关软件。超级记录了这个弹窗的状态，所以就算腾讯没有下发广告，这个弹窗还是会有的。改名之前的QQprotect.目录，让软件运行的时候重新生成一个新的QQprotect.目录就可以了。