一卡通云版收费网吧请注意：易乐游游戏盘磁盘压力大解密

问题现象：多家网吧同时出现游戏盘磁盘压力大，压力持续在95%+左右

问题截图：

问题环境：易乐游管理端和客户端都是2.2.10.0版本，收费都是一卡通云板

2018.8.23更新：

部分网吧没有liebao.exe进程，检查发现是先调用了系统默认IE浏览器iexplore.exe，具体现象为客户机进程里面有2个或4个iexplore.exe进程，把iexplore.exe杀掉之后出现随机调用liebao.exe，调用程序为gsfrdrjj.exe，该程序随收费开机下发，具体路径为客户机开机启动项文件夹：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup,部分环境下会出现程序启动后自删除现象。

文件: C:\Users\Administrator\Desktop\gsfrdrjj\gsfrdrjj.exe

大小: 159232 字节

修改时间: 2018年8月17日, 20:38:58

MD5: 0FBEA7227ADAB7D43DAA5C3D1645BB1D

SHA1: 536B3C19DB69D59F55B55E2B79760B7C5FCCED6B

CRC32: AB43B537

解决方法：

操作步骤

第一步

1：挂载镜像包将C:\Users\Administrator\AppData\Local\liebao文件夹删除或改名

2：添加liebao.exe和gsfrdrjj.exe危险进程拦截和MD5拦截

进程名：liebao.exe   MD5: 4678E1B0E8199F80359D9EC2FEAAB5DA

进程名：gsfrdrjj.exe  MD5: 0FBEA7227ADAB7D43DAA5C3D1645BB1D

第二步（有哪个进程使用哪个命令）

批量选择客户机右键-运行程序，使用taskkill /f /im liebao.exe命令将这个进程结束

批量选择客户机右键-运行程序，使用taskkill /f /im iexplore.exe命令将这个进程结束

----------------------------------分割线--------------------------------------

问题排查：

1、  检查服务器没有发现第三方软件对游戏盘读取和扫描现象，资源里面也没有资源下载，重置游戏盘缓存后手动指定最低配额无效

2、  所有客户机都有几百K磁盘读取信息，读取次数几万次，开机时间长的机器可以达到几十万次

3、  开了一台客户机使用processmonitor监视进程没有发现异常，并且服务器上面这台机器磁盘读取几千就不动了，读取速度也是0K，联系网吧确认使用的是收费的管理员账号登陆，众所周知收费管理员账号登陆是没有广告下发的

4、  另开一台机器使用身份证登陆，并使用processmonitor监视发现了异常情况

5、  C:\Users\Administrator\AppData\Local\liebao\liebao.exe这个进程一直在持续扫描游戏盘的游戏

6、  在服务器上随机查看了几台客户机发现都有这个进程

7、  批量选择客户机右键-运行程序，使用taskkill /f /im liebao.exe命令将这个进程结束之后，游戏盘压力瞬间从97%降到5%

8、将有问题的网吧使用同样的方法操作之后游戏盘压力全部恢复正常

9、使用收费管理员账号登陆正常，使用身份证登陆就会出现，问题原因不言而喻

liebao.exe的位置和MD5（名为liebao.exe的一个网吧安全浏览器，不是真正的猎豹浏览器进程）

文件: C:\Users\Administrator\AppData\Local\liebao\liebao.exe

大小: 1135352 字节

文件版本: 6.0.114.15460

修改时间: 2018年4月19日, 11:20:31

MD5: 4678E1B0E8199F80359D9EC2FEAAB5DA

SHA1: 36047C5EADBB9654B931C942AA2BAB040F3A2438

CRC32: 9676780F