这是一个创建于 174 天前的主题,其中的信息可能已经有所发展或是发生改变。
有没有老哥遇到过这个情况。感觉是个病毒,但是火绒查杀也没问题。目前在跟火绒反馈。
也受 process explorer 影响,打开就消失,关闭就出现。给 pe 改了个名才不影响。能抓到请求是到 95-215-206-71.netherlands-2.vps.ac 这个地址。
第 1 条附言 174 天前
哎主要是一开任务管理器就没啥占用了,一开始没当回事,都不知道这玩意有多久了,不好分析是什么东西导致的。倒是装过 tailscale ,很早之前也跑过 frp 。
第 2 条附言 173 天前
有一说一还得是蛊王,火绒全盘查杀也没找出来,下了个 360 杀毒杀了一下解决了
13 条回复 2025-04-20 19:22:36 +08:00
 | 1 Cooky 174 天前 pe 能用了就把文件路径找出来再把文件复制出来传网页杀毒看看呗 |
 | 3 crab 174 天前 用 Procmon 抓取整个系统启动过程 |
 | 4 zictos 174 天前 任务管理器里先添加“命令行”列,列里面没有任何命令信息吗? |
 | 5 hhacker 174 天前 听起来很符合病毒或后门的特征 |
 | 8 jadehare OP @hhacker 抓了内存字符串喂给 gpt 说是“Themida加壳、内嵌 XMRig挖矿程序的可执行文件。它被注入或伪装成cmd进程运行,占用 CPU 进行门罗币( Monero )挖矿,并带有大量网络RPC 、反调试和隐藏特征,是典型的挖矿木马/后门。” |
 | 9 tangmanger 174 天前 哈哈 典型挖矿 程序 不打开任务管理器会占很高 鸡贼 写个程序 自己抓 cpu 占有 到时会找到文件杀掉 然后 清除 temp 文件夹 检查开机启动 检查服务 |
 | 10 kneo 174 天前 via Android 狂吃 CPU 还不让你知道,很典型的挖矿。 |
 | 11 billly 174 天前 可能是挖矿的,我之前也中挖矿病毒,我不动的时候,风扇狂转;我开始打游戏,风扇就不怎么转了 |
 | 12 rich4rd 173 天前 目测是挖矿,装个 Sysmon ,记录一下进程的父子进程调用关系,以及进程的参数,看看是什么进程拉起的它,看看进程参数是什么 |
 | 13 ysc3839 173 天前 via Android 大概率是病毒,建议重装系统。 |
Select Language