问题现象:网吧突然出现客户机首页被篡改,打开直接是www.wangba.com,导致打开浏览器缓慢。
问题截图:
排查过程:
1.直接超级下运行测试正常。
2.检查启动文件夹,空白。客户机MSConfig,正常。
3.关闭开机启动项以及安全中心里面设置的,重启客户机测试正常。
4.慢慢测试定位到是设置领航客户端的启动项导致的。如下图;
5.查看设置的批处理发现没有异常的,于是关闭这个启动项然后重启客户机,打开浏览器正常,然后直接找到下发的这个领航的程序,手动运行后,在打开浏览器就被劫持了。
6.重新找了个正常的领航程序,把他放到游戏盘,客户机重启测试这个发现是正常。说明是服务器上设置的开机启动项有人把这个执行程序替换了。
7.重新设置领航的启动项正常。
解决方法:服务器上设置的领航的开机启动项,有人将执行程序替换了。重新设置即可。ps:网吧还是要注意下远程工具,以及不要让不必要的人接触到服务器。(网吧老板说这个可能是网吧的人搞的),要注意防护。
|