【问题描述】
近日接到一位河南郑州的技术求助，反馈客户机玩游戏爆卡，而且现象跟挖矿一致。开机时间越长越卡！把计费、营销等第三方软件去掉还是问题依旧。

【问题结论】:
技术自己安装的一款去计费辅助程序推送挖矿业务导致，该程序用于“去广告”用途

【分析过程】
1、使用互联网第三方程序检测软件djkdjfkj.exe查看确认dllhost.exe占用GPU、显存资源异常。

2、使用微软的netstat -ao命令初步查看dllhost.exe所连接IP分别为120.55.26.225:8001、101.37.134.36:7001

3、查看dllhost.exe父进程信息为svchdyn.exe

4、 准备打开调试工具查看dllhost程序网络连接，发现打开调试工具或者GPU检测工具或者任务管理器后程序自动消失。

5、关掉任务管理器以及调试工具后dllhost重新开始工作，使用第三方工具核对程序内存，发现程序所连接的7001端口真实域名为start2.uc916.com:7001  

6、上述信息中得知dllhost.exe为挖矿程序并且父进程svchdyn.exe会进行反调试操作，运行了调试程序会自动不工作，则证明有监护行为。

7、为了近一步确认该程序来源，把机器重启后部署ProcessMonitor.exe程序进行查看启动过程，发现挖矿程序dllhost.exe（PID1956、PID3980）程序是被svchitw.exe（PID2824）启动。svchitw.exe是被另外一个svchitw.exe（PID2472）程序所启动，svchitw.exe的启动者为Loader.exe（PID552）

8、将机器反复重启多次开机执行ProcessMonitor后抓到完整启动过程，证明Loader.exe是被一个Ghostlu.exe的程序（PID是1944）所运行创建起来。

9、经过询问后技术后确认是自己做的启动项弄的

上一篇：网维大师V9.0.6.0版本公测

下一篇：网卡PNP驱动兼容问题导致无盘客户机启动获取DHCP后白条时间长、滚动圈数多、黑屏时间