赤手空拳找出不断重启程序的“元凶”

2022-05-30 07:37平淡
电脑爱好者 2022年3期
关键词:命令行元凶批处理

平淡

问题分析

因为每次开机后监控程序A都会启动,显然它是通过系统的某种方式自启动的。因此先通过系统工具来查找启动项。在Windows 10中,分别通过程序的三种自启动方式来进行查看:

1常规的自启动程序

在任务栏搜索框中输入“启动”,打开“启动应用”设置后就可以看到本机所有的自启动项了。我们可以看到当前电脑中并没有可疑的启动项(图1)。

2查看任务计划

因为监控程序会定时重启,所以它很有可能是通过任务计划启动的。启动任务计划程序,点击“显示所有正在运行的任务”,在正在运行的任务窗口中也没有发现可疑的计划。但是在查看任务的过程中,系统又提示XX游戏未找到,现在可以排除程序A是通过任务计划启动的可能(图2)。

3查看系统服务

在“运行”框中输入“msconfi g”,启动程序后切换到“服务”选项卡,勾选“隐藏所有Microsof t服务”,可以看到所有第三方的服务。这里除了名为“Lsass Game Service”的服务外,其他的均是知名厂商如英特尔、腾讯、搜狗提供的服务,因此该服务极为可疑(图3)。

接着根据图3显示的服务名称,打开服务管理组件并打开对应的服务属性窗口,可以看到该服务启动的程序是“C:\Windows\lsass.exe”(图4)。这个看上去像是系统进程,但是按提示打开文件资源管理器,查看“lsass.exe”的文件属性却是空白的,基本可以判定这是一个非系统文件。

問题解决

通过上面的方法我们找到可疑的系统服务及其对应的程序,那么这次的问题是不是它导致的呢?打开任务管理器,切换到“服务”,根据图4显示的“服务名称”找到“lsass”服务并将其终止。问题并没有解决,系统依然定时弹出启动提示,显然在后台还有“帮凶”。

1查看进程的命令行参数

打开任务管理器并切换到“进程”,然后在“名称栏”上右击,在弹出的菜单中勾选“命令行”,这样我们可以看到进程的命令行参数。因为笔者当前的电脑中并没有运行任何命令行程序,但是在“进程”下可以看到一个“Windows命令处理程序”(即“c m d. e xe”),其运行的参数是“C:\ U s e r s\当前用户\ A p p Da t a\Local\Temp\D19D.tmp\D19E.tmp\d19f.batC:\windows\lsass.exe”(图5)。根据命令行的参数可以知道,批处理“D19F.bat”会启动“C:\Windows\lsass.exe”,所以即使终止该服务,批处理仍会在后台启动它。

2查看运行的批处理和脚本

打开文件资源管理器,按提示展开“C:\Users\当前用户\ AppData\Lo c a l \Temp\ D19 D. tmp\ D19 E.tmp”,果然在其中看到运行的批处理“D19F.bat”,使用记事本程序打开查看代码,可以看到这实际上就是一个监控指定进程运行的批处理,如果在进程列表中没有找到指定的进程(即代码“set _task=”指定游戏程序),那么10秒后就重启指定的游戏(图6)。

同时根据其中的代码“c sc r i pt// b //n o l o g o %tmp%/de l ay.v b s10000”可以知道,该程序还会在用户的临时目录下生成“delay.vbs”脚本文件,执行的间隔是“10 0 0 0”毫秒(即10秒)。返回任务管理器窗口,同上在图5所示的窗口中再次进行排查,可以看到有一个名为“Mi crosoftConso l e Base d c sc ipt Host”的进程,运行的参数为“c sc r i pt //b // n o l o g o %t m p%/d e l a y.v b s10000”(图7)。

在文件资源管理器中打开“C:\Users\当前用户\ AppData\Local\Temp”,可以看到其中的“ de l ay.vbs”文件,使用记事本程序打开后可以看到运行的实际代码(图8)。

至此,笔者知道了这次问题之所在:该游戏在安装后注册了一个系统服务,系统服务启动后释放指定的批处理“D19F. bat ”(数字是随机的,需要通过图7所示的方法来查找)到用户的临时目录中并运行,批处理运行后会在临时目录中生成“delay.vbs”,通过系统自带的“cscript.exe”命令运行这个“delay.vbs”脚本,接着脚本会不断扫描进程列表中是否有指定游戏的进程,如果没有则重启它,所以出现前文所述的定时重启XX游戏的提示。

知道了问题的原因后,解决起来就简单了:先停止“ L s a s s”服务,然后删除上述临时目录中的“D19 F.bat”和“del ay.vbs”,最后再将“L s a s s”服务彻底删除,最终顺利解决问题。

猜你喜欢
命令行元凶批处理
糖尿病——无数人失明的元凶
恶意批处理文件导致电脑黑屏、反复重启、无响应的原因分析及应对思路
一种基于docker集群的自动评价虚拟命令行实验终端构建及其在类Unix系统教学中的应用
Windows 10新版CMD更新
为什么有人说小行星是恐龙灭绝的元凶?
怀孕了发生子痫前期的9大元凶!
基于PSD-BPA的暂态稳定控制批处理计算方法的实现