现在的网吧维护工作真的是一份不是人干的工作，光是各种软件的劫持、广告就够我们这些网维人员折腾的。现在的收费软件，不管是Pubwin、万象还是嘟嘟牛，都是主页劫持、游戏退弹、全屏Flash广告一起上的，还有各种网吧监管软件，有时候打开一个浏览器，光是主页就得跳转好几次。

这不，有几个网吧我搞了点歌系统，用的是网吧语音大师（原蓝宝石呼叫网管系统），尝试了一下，发现只使用呼叫网管功能的时候是没有什么问题的，但是只要使用比如点歌、销售功能的时候，就会自动劫持主页，而且是锁定IE为默认浏览器，恶心的是居然还会下载后门进程伪装为系统进程。

我之前在网上看到过这方面的文章，但是经过我测试发现，就连官方下载的也是这个情况，根本不存在什么破解版之类的问题。而且网维大师帮助中心之前贴过的那篇文章谈到的内容已经并不适合现在网吧语音大师（原蓝宝石呼叫网管系统）8.5的版本了，而且顺网小哥给出的那个开机执行程序也失效了，没有任何效果。

有兴趣的可以去网维大师帮助中心查看原文：点击查看

顺网小哥给出的开机执行程序原文：点击查看

顺网小哥给出的是一个开机执行的EXE可执行文件，对最新版本的网吧语音大师（原蓝宝石呼叫网管系统）已经失效，就算有效也会拖慢客户机的开机速度。开机执行越多程序，速度越慢，这个是谁都知道的。

我已经解决这个问题，操作过程也没有截图下来，所以就不放什么图片了（上面的那张图片是借用网维大师帮助中心帖子的），我直接说怎么彻底去掉网吧语音大事（原蓝宝石呼叫网管系统）的主页劫持与后门木马。

1、问题分析

网吧语音大师（原蓝宝石呼叫网管系统）程序目录中的LBSclient.exe、LBSmusic.exe、LBSshop.exe 3个可执行程序有后门程序，只要执行了，就会通过FTP协议连接外网IP下载一个跟系统关键进程一样名称的"SVHOST.exe"木马文件,然后执行木马"SVHOST.exe"修改"win.ini"和"mswinsck.ocx"并执行"regsvr32.exe"对系统进行修改注册表项；然后又通过"SVHOST.exe"木马程序使用HTTP协议访问地址外网IP下载木马伪装跟IE进程一样名称的文件"iexplore.exe"到临时文件目录并执行后一堆的木马及插件，经过修改系统文件达到截持系统权限达到控制系统的目的。

2、问题解决

只要找到了流氓软件的作案手法，就可以找到最有效的解决方式！

由于我使用的是ROS软路由，所以只要找到相对应的外网下载地址，对相应的IP进行拦截就可以了。

大家看到没有，只要添加相应的规则对以上这几个IP进行拦截就可以了。以后可能也会更改IP，但是方法是一样的，只要对相应的IP拦截掉就可以彻底去掉网吧语音大师（原蓝宝石呼叫网管系统）的主页劫持与后门。

来源：陈德馨博客（微信/QQ号：35435164），转载请保留出处和链接！

地址：https://www.chendexin.com/archives/327.html