最近碰到个使用易乐游环境的网吧启动QQ非常慢,启动起来要50秒左右,而通过咨询易乐游官方得到回复他们的测试环境QQ启动只需要5秒左右,在其他网吧实测也只需要10秒左右。
通过procmon发现,在QQ的启动过程中发现易乐游的启动程序menu.exe在疯狂读取QQ绿化相关的文件,读取其中一个文件就用了30多秒。而从易乐游相关技术人员得到确认他们的程序在启动过程中没有这样狂疯读取的过程。
通过以上分析后怀疑是网吧目前使用的系统内某个程序在搞鬼,找机器切换成一个纯净的系统包后测试,QQ果然是只要5秒左右就启动起来了。
在排查过程中还得到另一个信息,网吧其实不只QQ启动慢,启动任何一个程序都很缓慢,文件越大启动越慢。通过procmon发现,在启动各个程序的过程中都会有其他程序在疯狂读取启动的程序。
我们查看异常读取文件的堆栈,发现是在创建进程时读取的,且中间有个可疑驱动misrdpbus2.sys,经过分析发现这个驱动可能是深蓝维护通道的,于是取消客户机里面的深蓝维护通道后进行测试,问题解决了,启动任意程序都恢复到了正常速度。
