嘟嘟牛另类去广告

问题现象：嘟嘟牛环境下广告多，客户机卡。

排查分析：经过分析发现嘟嘟牛进程会导致目录为C:\Windows\SysWOW64\svchost.exe这个进程占用大概10%左右的CPU，这个进程是系统进程，肯定是有什么东西通过网络在捣鬼。

进一步分析发现可疑进程通过注入explorer生成一个随机进程，而这个随机进程注入svchost。

通过Process Monitor查看发现是嘟嘟牛的启动程序NBC.EXE创建的。

1

通过观察嘟嘟牛的主进程发现嘟嘟牛虽然是通过NBC启动，但是实际上UDO才是主收费程序。

解决方法：把嘟嘟牛启动改名，在注册表里下面图里这个位置找到嘟嘟牛的启动程序，HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

将NBC.EXE改成UDO.EXE。经过测试，改了后嘟嘟牛的广告都没了。并且启动计费的时候因为加载广告导致在输入身份证的时候会顿卡一下的情况也没有了。不过有一个副作用是NBC还负责升级嘟嘟牛的主进程UDO。这样启动就导致计费客户机不能自动升级了，不过计费很长时间不升级也没关系，如果某一天不能用了，找一台机器让他升级一下，然后把UDO替换即可。