网吧使用去广告工具导致被挖矿，网吧卡

2019-7-11 14:36| 发布者: 六月飞雪| 查看: 4855| 评论: 0|原作者: 暴走的红狗

问题现象：最近接到网吧反馈客户机玩游戏爆卡，而且现象跟挖矿一致。开机时间越长越卡！把计费、营销等第三方软件去掉还是问题依旧。排查步骤： 1、使用互联网第三方程序检测软件djkdjfkj.exe查看确认dllhost.e ...

问题现象：
最近接到网吧反馈客户机玩游戏爆卡，而且现象跟挖矿一致。开机时间越长越卡！把计费、营销等第三方软件去掉还是问题依旧。
排查步骤：
1、使用互联网第三方程序检测软件djkdjfkj.exe查看确认dllhost.exe占用GPU、显存资源异常。

2、使用微软的netstat -ao命令初步查看dllhost.exe所连接IP分别为120.55.26.225:8001、101.37.134.36:7001

3、查看dllhost.exe父进程信息为svchdyn.exe

4、准备打开调试工具查看dllhost程序网络连接，发现打开调试工具或者GPU检测工具或者任务管理器后程序自动消失。

5、关掉任务管理器以及调试工具后dllhost重新开始工作，使用第三方工具核对程序内存，发现程序所连接的7001端口真实域名为start2.uc916.com:7001

6、上述信息中得知dllhost.exe为挖矿程序并且父进程svchdyn.exe会进行反调试操作，运行了调试程序会自动不工作，则证明有监护行为。

7、为了近一步确认该程序来源，把机器重启后部署ProcessMonitor.exe程序进行查看启动过程，发现挖矿程序dllhost.exe（PID1956、PID3980）程序是被svchitw.exe（PID2824）启动。svchitw.exe是被另外一个svchitw.exe（PID2472）程序所启动，svchitw.exe的启动者为Loader.exe（PID552）

8、将机器反复重启多次开机执行ProcessMonitor后抓到完整启动过程，证明Loader.exe是被一个Ghostlu.exe的程序（PID是1944）所运行创建起来。

最终确认是网吧自己用的一款去计费辅助程序推送挖矿业务导致，该程序用于“去广告”用途。
解决办法：
干掉这个去广告工具，网吧恢复正常。
建议：网吧去广告的东西，能不用就不要用，除非是一些有教程的，手动的，比如写批处理，用网上比较知名的第三方工具，比如进程监控，MD5自动禁用的工具去手动禁止实现的，这些有原理，有代码的去广告程序，因为他们是透明的，没有后门下载通道的，可以放心使用，其他的，我劝大家还是算了吧。去了这个广告，加上更严重的挖矿！得不偿失！