平淡

問題分析

因?yàn)槊看伍_機(jī)后監(jiān)控程序A都會啟動(dòng)，顯然它是通過系統(tǒng)的某種方式自啟動(dòng)的。因此先通過系統(tǒng)工具來查找啟動(dòng)項(xiàng)。在Windows 10中，分別通過程序的三種自啟動(dòng)方式來進(jìn)行查看：

1常規(guī)的自啟動(dòng)程序

在任務(wù)欄搜索框中輸入“啟動(dòng)”，打開“啟動(dòng)應(yīng)用”設(shè)置后就可以看到本機(jī)所有的自啟動(dòng)項(xiàng)了。我們可以看到當(dāng)前電腦中并沒有可疑的啟動(dòng)項(xiàng)（圖1）。

2查看任務(wù)計(jì)劃

因?yàn)楸O(jiān)控程序會定時(shí)重啟，所以它很有可能是通過任務(wù)計(jì)劃啟動(dòng)的。啟動(dòng)任務(wù)計(jì)劃程序，點(diǎn)擊“顯示所有正在運(yùn)行的任務(wù)”，在正在運(yùn)行的任務(wù)窗口中也沒有發(fā)現(xiàn)可疑的計(jì)劃。但是在查看任務(wù)的過程中，系統(tǒng)又提示XX游戲未找到，現(xiàn)在可以排除程序A是通過任務(wù)計(jì)劃啟動(dòng)的可能（圖2）。

3查看系統(tǒng)服務(wù)

在“運(yùn)行”框中輸入“msconfi g”，啟動(dòng)程序后切換到“服務(wù)”選項(xiàng)卡，勾選“隱藏所有Microsof t服務(wù)”，可以看到所有第三方的服務(wù)。這里除了名為“Lsass Game Service”的服務(wù)外，其他的均是知名廠商如英特爾、騰訊、搜狗提供的服務(wù)，因此該服務(wù)極為可疑（圖3）。

接著根據(jù)圖3顯示的服務(wù)名稱，打開服務(wù)管理組件并打開對應(yīng)的服務(wù)屬性窗口，可以看到該服務(wù)啟動(dòng)的程序是“C：＼Windows＼lsass.exe”（圖4）。這個(gè)看上去像是系統(tǒng)進(jìn)程，但是按提示打開文件資源管理器，查看“l(fā)sass.exe”的文件屬性卻是空白的，基本可以判定這是一個(gè)非系統(tǒng)文件。

問題解決

通過上面的方法我們找到可疑的系統(tǒng)服務(wù)及其對應(yīng)的程序，那么這次的問題是不是它導(dǎo)致的呢？打開任務(wù)管理器，切換到“服務(wù)”，根據(jù)圖4顯示的“服務(wù)名稱”找到“l(fā)sass”服務(wù)并將其終止。問題并沒有解決，系統(tǒng)依然定時(shí)彈出啟動(dòng)提示，顯然在后臺還有“幫兇”。

1查看進(jìn)程的命令行參數(shù)

打開任務(wù)管理器并切換到“進(jìn)程”，然后在“名稱欄”上右擊，在彈出的菜單中勾選“命令行”，這樣我們可以看到進(jìn)程的命令行參數(shù)。因?yàn)楣P者當(dāng)前的電腦中并沒有運(yùn)行任何命令行程序，但是在“進(jìn)程”下可以看到一個(gè)“Windows命令處理程序”（即“c m d. e xe”），其運(yùn)行的參數(shù)是“C：＼ U s e r s＼當(dāng)前用戶＼ A p p Da t a＼Local＼Temp＼D19D.tmp＼D19E.tmp＼d19f.batC：＼windows＼lsass.exe”（圖5）。根據(jù)命令行的參數(shù)可以知道，批處理“D19F.bat”會啟動(dòng)“C：＼Windows＼lsass.exe”，所以即使終止該服務(wù)，批處理仍會在后臺啟動(dòng)它。

2查看運(yùn)行的批處理和腳本

打開文件資源管理器，按提示展開“C：＼Users＼當(dāng)前用戶＼ AppData＼Lo c a l ＼Temp＼ D19 D. tmp＼ D19 E.tmp”，果然在其中看到運(yùn)行的批處理“D19F.bat”，使用記事本程序打開查看代碼，可以看到這實(shí)際上就是一個(gè)監(jiān)控指定進(jìn)程運(yùn)行的批處理，如果在進(jìn)程列表中沒有找到指定的進(jìn)程（即代碼“set _task=”指定游戲程序），那么10秒后就重啟指定的游戲（圖6）。

同時(shí)根據(jù)其中的代碼“c sc r i pt// b //n o l o g o %tmp%/de l ay.v b s10000”可以知道，該程序還會在用戶的臨時(shí)目錄下生成“delay.vbs”腳本文件，執(zhí)行的間隔是“10 0 0 0”毫秒（即10秒）。返回任務(wù)管理器窗口，同上在圖5所示的窗口中再次進(jìn)行排查，可以看到有一個(gè)名為“Mi crosoftConso l e Base d c sc ipt Host”的進(jìn)程，運(yùn)行的參數(shù)為“c sc r i pt //b // n o l o g o %t m p%/d e l a y.v b s10000”（圖7）。

在文件資源管理器中打開“C：＼Users＼當(dāng)前用戶＼ AppData＼Local＼Temp”，可以看到其中的“ de l ay.vbs”文件，使用記事本程序打開后可以看到運(yùn)行的實(shí)際代碼（圖8）。

至此，筆者知道了這次問題之所在：該游戲在安裝后注冊了一個(gè)系統(tǒng)服務(wù)，系統(tǒng)服務(wù)啟動(dòng)后釋放指定的批處理“D19F. bat ”（數(shù)字是隨機(jī)的，需要通過圖7所示的方法來查找）到用戶的臨時(shí)目錄中并運(yùn)行，批處理運(yùn)行后會在臨時(shí)目錄中生成“delay.vbs”，通過系統(tǒng)自帶的“cscript.exe”命令運(yùn)行這個(gè)“delay.vbs”腳本，接著腳本會不斷掃描進(jìn)程列表中是否有指定游戲的進(jìn)程，如果沒有則重啟它，所以出現(xiàn)前文所述的定時(shí)重啟XX游戲的提示。

知道了問題的原因后，解決起來就簡單了：先停止“ L s a s s”服務(wù)，然后刪除上述臨時(shí)目錄中的“D19 F.bat”和“del ay.vbs”，最后再將“L s a s s”服務(wù)徹底刪除，最終順利解決問題。