首页 » 故障问题 » 正文

smss.exe导致网吧卡到爆,分析与解决过程

admin 2016年09月25日 故障问题 2058 views 1

扫一扫用手机浏览

  • smss.exe导致网吧卡到爆,分析与解决过程


  •   我们都知道不少软件会在后台悄悄下载广告,甚至一些是强制要求使用的软件。对于这些东西大家可能习以为常,甚至逆来顺受。我,也是和大家一样。只要你只是略占一点点资源,不影响网吧就行了。可是偏偏在今天,我遇到了一个进程疯狂的占用资源,导致整个网吧游戏都上不去,搞了几个小时进行排查。现在在这里分享一些经验给大家。

      还是那句话,我不针对任何软件,只希望你们在网吧运行你们的广告的时候,能够少占点资源。因为深蓝的影响力较大,所以在有些关键的地方我不会说得特别明显,但是你一定懂得说的是什么。(这句话可能是深蓝在装逼,您可以选择性忽略)

      今天接到网吧电话说网吧很卡,远程检查了路由,外网网关,最近的DNS,ping值将在<1左右,非常稳定和正常。于是过去网吧客户机进行检查。

    1. 进入网吧后发现网页打不开,需要等待5秒左右(不要在意那个百度主页加了链接,我自己网吧主页我都没做,让给这些收费啊三层去做了好了,这么大方他们还不满意)

    001.png

     

    2. 查看进程发现 smss.exe 的进程占用内存最多,并且目录还是随机的。在一个随机目录冒充系统进程,我代表我个人认为,这不是个好东西。

    003.png

     

    3. 父进程PID 1900,再一看,哟不见了呢。这一步是为了防止你找到父进程而知道是哪个进程干的眼前的苟且。

    007.png

     

    4. smss.exe 中一个可疑的模块 ieframe.dll ,这是做什么用的呢。我不知道,但前段时间有个客户联系我说想做个软件,无界面无声音悄悄打开网站。他说这是为了诗和远方。

    005.png

     

    5.重启两次客户机用 文件指纹查看MD5发现没有改变。噫 ,也还不是很流氓嘛,还暂时没有用上随机MD5技术呢。

    010_重新开机目录变了md5没变.png

     

    6. 我们来看一下父子进程关系图。发现explorer.exe > 0504ht.exe >  client.exe > regsvr32.exe > smss.exe 这样一个关系。

    009_smss进程树从winlogon.exe开始.png

     

    7.explorer.exe 生成 (writefile) 0504ht.exe 文件 (注意这个文件每个礼拜或者两个礼拜就会变一次,或者更短时间,真的很勤快,可以发一个最爱劳动奖)

    011_explorer.exe创建0504ht.exe.jpg

     

    8.client.exe 创建 smss.exe 

    018_z100smss创建父进程client.exe.png

     

    9.这家伙挺忙啊,干的事儿不少。好样的。

    020_干的坏事还不少.png

     

    10.为什么是explorer.exe创建了smss.exe呢?查看explorer.exe 发现其被插入了一个不明的DLL zbluntmr.dll,原来是这样啊。

    012_explorer.exe加载了一个未知dll_zbluntmr.dll.png

     

    11. 那这个 ZBLUNTMR.dll是谁的呢?似乎有图有真相?

    022_ZBLUNTMR.DLL.png

     


 





本文来自于深蓝软件官网,尊重他人劳动成果转载他处请注明原作者声明


赞(0 打赏
  • 微信
  • 支付宝

谢谢老板

本文转载自互联网,如有侵权,联系删除

最后编辑于:2016/09/25作者: admin

发表评论