【問題描述】
近日接到一位河南鄭州的技術求助����,反饋客戶機玩游戲爆卡�,而且現象跟挖礦一致�����。開機時間越長越卡���!把計費���、營銷等第三方軟件去掉還是問題依舊����。
【問題結論】:
技術自己安裝的一款去計費輔助程序推送挖礦業務導致����,該程序用于“去廣告”用途
【分析過程】
1���、使用互聯網第三方程序檢測軟件djkdjfkj.exe查看確認dllhost.exe占用GPU�����、顯存資源異常�。
2�、使用微軟的netstat -ao命令初步查看dllhost.exe所連接IP分別為120.55.26.225:8001��、101.37.134.36:7001
3�����、查看dllhost.exe父進程信息為svchdyn.exe
4��、 準備打開調試工具查看dllhost程序網絡連接�����,發現打開調試工具或者GPU檢測工具或者任務管理器后程序自動消失�����。
5���、關掉任務管理器以及調試工具后dllhost重新開始工作�����,使用第三方工具核對程序內存����,發現程序所連接的7001端口真實域名為start2.uc916.com:7001
6��、上述信息中得知dllhost.exe為挖礦程序并且父進程svchdyn.exe會進行反調試操作�,運行了調試程序會自動不工作�,則證明有監護行為�。
7���、為了近一步確認該程序來源��,把機器重啟后部署ProcessMonitor.exe程序進行查看啟動過程��,發現挖礦程序dllhost.exe(PID1956�、PID3980)程序是被svchitw.exe(PID2824)啟動�����。svchitw.exe是被另外一個svchitw.exe(PID2472)程序所啟動��,svchitw.exe的啟動者為Loader.exe(PID552)
8���、將機器反復重啟多次開機執行ProcessMonitor后抓到完整啟動過程�����,證明Loader.exe是被一個Ghostlu.exe的程序(PID是1944)所運行創建起來�����。
9��、經過詢問后技術后確認是自己做的啟動項弄的
|
