<安全警报>服务器入侵添加开机命令并挖矿分析以及解决方案2020.10.4

今天有个朋友联系我，说开机命令有一条空白的，找了客服，也没搞定
找到我，我感觉这有点像中毒了。然后就同意给他远程看看。

然后我运行了一下我们的病毒检测工具，果然报毒了。
https://www.hxwglm.com/thread-38059-1-1.html

然后开始分析，以及如何解决这个问题。
在控制台，用户无法选择和删除这个开机命令。果然越来越高明了。
然后客户机启动后，直接挖矿，用户卡死，老板骂死。这玩意客户机启动后，还删除自己，果然很厉害
然后我们打开数据库后，发现了一条 NetbarQQWG 分类是系统更新路径是c:\users\comgame\
启动文件是 SecureIdentify.exe 图标是QQ网吧没有数字签名！如果遇到不懂的，QQ网吧又要背锅了。哈哈

然后如何解决：？
1.首先安装我们的病毒检测工具，如果发现入侵，可以在第一时间处理这个问题，就不会被老板骂死，顾客叼死了
2.把网维数据库barserver.db 复制出来，用SQLITE DEVELOPER 或者 Navicat Premium 打开即可。
Navicat Premium 下载地址： https://www.hxwglm.com/thread-38451-1-1.html
3.然后找到 tbl_Package 表找到pkgid比较低的应用就可以看到不是你自己添加的东西的序列了
4.然后删除这条数据，然后保存，
5.然后在服务器上，先备份一次这个数据库文件，
6.然后结束barserver.exe进程
7.把这个barserver.db替换进去
8.删除 c:\users\comgame\（或者你找到的异常对应开机目录文件）
9.再次结束barserver.exe 和BsAgent_0.exe 当然，你直接重建B盘，或者直接重启服务器也是可以的啦
最最最最最重要的，你如果不会的话，可以看我们的教程，https://www.hxwglm.com/thread-10188-1-1.html
10.最最最重要的，重新加固服务器系统安全，这一块，我们华夏网盟论坛很多官方资料可以查哦

最后，来一波广告。

更多好工具，好软件

【2020教程更新】原版WIN10安装，优化，调试，封包，万能包，无盘系统安装，马蹄更新

防止STEAM盗号，检测服务器被黑工具

[vip教程更新]如何手动安装 wegame版古剑奇谭网络版

AMD/INTEL/Nvida/Ati/CPU/显卡/修改工具，支持有盘/无盘/win7/win10/本地驱动/pnp

VIP教程/解决网吧叫卡，玩游戏卡顿，掉FPS等问题系列教程|2019VIP教程更新|0基础全套视频教程|

360极速浏览器网吧专版V7.0 BY：华夏网盟

显卡,CPU一样，有的网吧绝地求生卡，有的不卡？

【VIP软件】遇到谋个进程时更换桌面壁纸墙纸工具

网吧淡季即将来临（这是一篇推广文章）

英雄联盟特权失效排查方法！