一个计费辅助软件被爆挖矿，导致网吧卡

问题现象：近日接到一个下面的网吧，反馈客户机玩游戏爆卡，而且现象跟挖矿一致。开机时间越长越卡！把计费、营销等第三方软件去掉还是问题依旧。
排查过程：
1.使用互联网第三方程序检测软件djkdjfkj.exe查看确认dllhost.exe占用GPU、显存资源异常。

2.使用微软的netstat -ao命令初步查看dllhost.exe所连接IP分别为120.55.26.225:8001、101.37.134.36:7001

3.查看dllhost.exe父进程信息为svchdyn.exe

4.准备打开调试工具查看dllhost程序网络连接，发现打开调试工具或者GPU检测工具或者任务管理器后程序自动消失。



5.关掉任务管理器以及调试工具后dllhost重新开始工作，使用第三方工具核对程序内存，发现程序所连接的7001端口真实域名为start2.uc916.com:7001

6.上述信息中得知dllhost.exe为挖矿程序并且父进程svchdyn.exe会进行反调试操作，运行了调试程序会自动不工作，则证明有监护行为。

7.为了近一步确认该程序来源，把机器重启后部署ProcessMonitor.exe程序进行查看启动过程，发现挖矿程序dllhost.exe（PID1956、PID3980）程序是被svchitw.exe（PID2824）启动。svchitw.exe是被另外一个svchitw.exe（PID2472）程序所启动，svchitw.exe的启动者为Loader.exe（PID552）

8.将机器反复重启多次开机执行ProcessMonitor后抓到完整启动过程，证明Loader.exe是被一个Ghostlu.exe的程序（PID是1944）所运行创建起来。

9.经过询问后网吧后确认是网吧自己在服务端上添加的去广告补丁开机启动项导致的。