【问题描述】
客户机打完一局游戏后出现异常广告声音
【排查思路】
有异常声音先从音频合成器入手,使用processexplorer瞄准器对准音量合成器窗口,查找该进程的句柄,需要选择process类(不是加载项)
举例:
网吧实际情况如下图,带声音的进程是IE进程,被其他程序追加了http参数,IE默认打开了一个so91.com的url然后才有声音,这里的声音其实就是来自后面这串URL的地址
再去查这个IE是谁创建出来的
证据到这里的时候,我们重新梳理了下大致的思路
因为上述证据最早追朔到svchost.exe后来就怀疑是不是有服务被篡改了,最终确认为是机器内多了一个servicename的服务
【解决办法】
1、检查出先问题的机器是否存在该服务,有的话删除服务即可。删除方法sc delete ServiceName,任务管理器找到srvany.exe结束掉,并去system32把这个程序删除
2、不想开超级的话就挂包,把这个system32\srvany.exe删除
【思路分析】
1、先定位到广告程序进程,使用processexplorer工具
2、再根据进程创建原则寻找该程序的父进程或者文件创建记录,参考windowsmonitor、processmonitor、网维大师菜单日志
3、对比srvany.exe文件创建日期跟还原点记录,是不是开超级时候带进去的,这个很重要很重要!因为正常操作系统是没有这个服务的。
【补充】
开超级的时候把计费机网线拔掉或者关闭计费软件、包括第三方辅助应用
声明: 本文由(顺网小哥)原创编译,转载请保留链
2022年01月09日
2021年08月21日
2021年05月11日
2021年05月11日
2021年05月11日