警惕！！！易乐游服务端安全中心设置被恶意程序修改（导致客户机运行游戏异常）

问题现象：晚上接了一个网吧老板的电话，说网吧突然很多游戏一运行就闪退（比如英雄联盟绝地求生），看着网吧生意跑了一大半老板也很着急。我赶紧到网吧来排查问题，发现不是所有的游戏都会闪退，但是闪退的游戏不管是从菜单还是目录里都运行不了，运行.exe的游戏主进程没有任何反应。在检查服务器的时候，偶然点到了易乐游服务端的监控中心，发现里面有一大堆进程被拦截的消息（就是下图这个地方，具体情况没截图，大致就是游戏进程被当成危险进程拦截了）。

处理过程：
在安全中心看了下发现有很多的危险进程拦截和特征码拦截的设置（如下图）

取消这些设置后，重启客户机游戏就正常了。因为网吧是我维护的，很清楚这些不是我设置的，老板说他从来不进服务器的，感觉是被什么人恶意修改了安全中心的设置。为了安全起见我在易乐游服务端控制台设置了密码，顺便也修改了服务器的远程密码。在网吧歇了一会准备回去的时候，老板说新开的机器又出现游戏玩不了的问题。看了下服务器，发现安全中心又被添加了之前的那些危险进程和特征码，而且开关也被打开了。因为刚改过控制台和远程密码，感觉不太可能是人为的，但是针对性很强，所以怀疑是网吧被人放了恶意的程序，直接修改了安全中心的配置文件（ProcessManager.ini），看了下这个文件的日期也是最近修改过的。

还原关闭安全中心的设置后，挂着Procmon看能不能把幕后凶手找出来。过了大概二十分钟发现安全中心的设置又被改了，停止procmon的捕获。设置筛选条件为Path---contain--ProcessManager.ini，结果如下图



看来凶手就是这个名为Snight.exe进程，他在查询完ProcessManager.ini后，写入了一些东西进去，写入之后安全中心的设置就变了，也导致了网吧的这一系列问题。删除这个程序后，网吧也没有出现安全中心被修改的问题了。


建议：
网吧服务器做为网吧最重要的地方，建议大家平时养成定期修改远程密码和服务端控制台密码的好习惯，不要装一些从来没使用过的软件。