本帖最后由 feng 于 2020-7-18 09:39 编辑
问题现象:七月中旬之后网吧频繁发生客户机弹窗报错“不支持的16位应用程序”,一直弹窗,关不掉。
问题截图:
处理过程:
1.像这种弹窗一般都是有进程开机被调起时异常报错了,由于一直弹所以直接上工具查看是一个sc.exe的程序导致的,进一步差看父进程是ecsole.exe的程序;
2.直接看路径的话发现这个是通过易游的开机启动项设置下来的,于是直接看服务器;
3.服务器上看到的默认下面的启动项都不是 但是有很多个分组,一一查看之后发现是一个“皓微”的分组下隐藏设置的;
4.直接看启动项下的文件如下所示,看添加日期是2020.5.30,添加的内容程序就是这个ecsole.exe的程序,看签名都是指向的易游;
5.于是联系易游的技术看了下,确定了这个程序不是他们的,是有人在做这个程序的时候冒名顶替,化用、借用了易游的名字。
解决方法: 把开机启动项加的东西给删除就能恢复正常,一般这个情况大概率都是服务器远程泄露或者服务器远程被攻击了。建议立即更换远程工具、修改服务器系统的密码以及有用第三方工具的先停用。
还有另外的一些情况可以看下这个:http://www.583go.com/article-4216-1.html;虽然导致报错的程序,被加载的东西不一样,但是本质上都是服务器远程被攻击,被人在开机启动项或者启动文件夹放了东西导致的,所以有这个情况的网吧一定要注意上面说的注意事项!!!
|