这是一个创建于 268 天前的主题,其中的信息可能已经有所发展或是发生改变。
有没有老哥遇到过这个情况。感觉是个病毒,但是火绒查杀也没问题。目前在跟火绒反馈。
也受 process explorer 影响,打开就消失,关闭就出现。给 pe 改了个名才不影响。能抓到请求是到 95-215-206-71.netherlands-2.vps.ac 这个地址。
第 1 条附言 · 2025 年 4 月 19 日
哎主要是一开任务管理器就没啥占用了,一开始没当回事,都不知道这玩意有多久了,不好分析是什么东西导致的。倒是装过 tailscale ,很早之前也跑过 frp 。
第 2 条附言 · 2025 年 4 月 20 日
有一说一还得是蛊王,火绒全盘查杀也没找出来,下了个 360 杀毒杀了一下解决了
13 条回复 • 2025-04-20 19:22:36 +08:00
 |
1
Cooky 2025 年 4 月 19 日
pe 能用了就把文件路径找出来再把文件复制出来传网页杀毒看看呗
|
 |
2
jadehare OP @Cooky 是 Path 么,这个显示[Error opening process]。parent 是 explorer.exe(7840)
|
 |
3
crab 2025 年 4 月 19 日
用 Procmon 抓取整个系统启动过程
|
 |
4
zictos 2025 年 4 月 19 日
任务管理器里先添加“命令行”列,列里面没有任何命令信息吗?
|
 |
5
hhacker 2025 年 4 月 19 日
听起来很符合病毒或后门的特征
|
|
8
jadehare OP @hhacker 抓了内存字符串喂给 gpt 说是“Themida 加壳、内嵌 XMRig 挖矿程序的可执行文件。它被注入或伪装成 cmd 进程运行,占用 CPU 进行门罗币( Monero )挖矿,并带有大量网络‑RPC 、反调试和隐藏特征,是典型的挖矿木马/后门。”
|
 |
9
tangmanger 2025 年 4 月 19 日
哈哈 典型挖矿 程序 不打开任务管理器会占很高 鸡贼 写个程序 自己抓 cpu 占有 到时会找到文件杀掉 然后 清除 temp 文件夹 检查开机启动 检查服务
|
 |
10
kneo 2025 年 4 月 19 日 via Android
狂吃 CPU 还不让你知道,很典型的挖矿。
|
 |
11
billly 2025 年 4 月 19 日
可能是挖矿的,我之前也中挖矿病毒,我不动的时候,风扇狂转;我开始打游戏,风扇就不怎么转了
|
 |
12
rich4rd 2025 年 4 月 20 日
目测是挖矿,装个 Sysmon ,记录一下进程的父子进程调用关系,以及进程的参数,看看是什么进程拉起的它,看看进程参数是什么
|
 |
13
ysc3839 2025 年 4 月 20 日 via Android
大概率是病毒,建议重装系统。
|
Select Language