开机蓝屏实为服务器被入侵，客户机被加远控盗号程序

今天有用户反馈过来说突然出现蓝屏，经过排查之后发现客户机被添加开机启动项导致

这个文件在数月前也曾出现在网吧，也是一样的手法。今天发现之后我们将其进行剖析，请其他网友可以将对应IP添加拦截名单里面
以下IP为软件直接连接IP：
103.90.172.214，120.24.48.197,202.124.250.84，202.124.250.91，222.208.171.42，www.swsfnt.com，103.181.135.53
以下IP疑似为跳板，可以进行屏蔽：
104.18.20.226,113.219.132.68,123.161.58.64,124.236.110.232,101.91.28.123,150.138.173.114,150.138.234.117,172.67.185.52,220.181.38.149,222.75.63.240,36.99.86.241,42.81.120.9,58.215.114.244
,61.147.219.124
该进程操作路劲
C:\Users\Default\Fonts\*.exe（多个exe进程）该进程会被本程序删除
C:\Windows\AgUrTeOa\AgUrTeOa.exe（进程和目录同名）该进程会被本程序删除


C:\Windows\system32\*\lsass.exe  该进程会保留
进程注入远程进程（需重启服务器）
使用HTTP POST方法发送数据
POST http://exhoe.xueerbuyan.cn/api/r/mcm
禁用代理可能用于流量劫持
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Proxy Enable


总结：如果你的网吧突然出现随机蓝屏问题，请检查客户机开机启动项是否有该进程，发现之后删除掉，及时删除C:\Windows\system32\*\lsass.exe 程序并重启服务器，更改你的远程方式并在路由进行拦截IP操作