前言

某天晚上大侄子找到我，说自己服务器登不上了，让我帮忙看看，我跟他说，登不上你应该发工单找客服（划重点），大侄子说客服也解决不了，我说行，等一会看看。

摸排

在大侄子的描述下，我知道了在开机之后的几秒钟之内，伴随着QQ的启动，屏幕就会锁住，只留一个弹窗，上面有一个蓝色笑脸和一个输入框，其他就没有任何提示了，当时看到截图的时候还有点纳闷，正常的锁机程序为的是让你支付软妹币，不应该什么提示都没有。

我开始通过远程连接登陆中招的服务器，发现登不上去，大侄子跟我说，每次这个程序一运行，就需要修改一次密码才能重新连上去（疑惑脸）。

修改密码之后终于是登上去了，开机不到5秒钟，电脑就被锁住了，挣扎了好几次，发现一直是这样，我陷入了沉思，突然之间我想到服务器开机之后左下角的DOS窗口。

尝试

通过DOS开启系统防火墙，自动删除其恶意程序。 无效

通过DOS开启任务管理器，手动关闭恶意程序。 时间不够，找不到程序，无效

安装火绒、360杀毒等安全软件，希望能将其杀死。 删除了部分恶意程序，但屏幕还是锁了，无效

不断尝试......

因为服务器的局限性，又加上自身对其DOS命令的不了解，一直尝试未果。

转机

在一边不断的尝试，我找到了某大佬，大佬说可以试着执行注销命令，终止其大部分非系统程序的正常运行，再进入桌面，并给了我一个命令。

taskkill /F /FI "USERNAME eq Administrator" /FI "IMAGENAME ne explorer.exe" /FI "IMAGENAME ne dwm.exe

Administrator为当前计算机的用户名，服务器默认用户名是这个。

没想到竟然成功了！！！

至此，从下午三点，经历自己倒腾、联系客服等一系列尝试之后，在半夜N点解决了这个问题。

复盘

在排查问题的过程，我一直在想到底是哪出了问题，大侄子跟我说，这服务器才买没多久，而且并没有安装什么其他的软件，就挂了个酷Q的机器人，难道是酷Q被插了后门（事实后来证实并不是）。

我开始查服务器的日志，以及用360全盘查毒，我发现在买服务器的第二天，就有了第一次的异常登陆，IP在伊朗，大侄子说那个登陆记录不是他。

他说桌面上有个挖矿浏览器不知道为什么就蹦出来了，而且卸载不掉，每次一卸载就会出来，每到半夜的时候，服务器就会被莫名其妙的挤下去。

通过复盘，我大概了解到了恶意程序：恶意程序会在每次开机运行之后修改计算机的密码，并且通过一个锁屏软件覆盖整个屏幕，然后开启挖矿程序。