This topic created in 376 days ago, the information mentioned may be changed or developed.
有没有老哥遇到过这个情况。感觉是个病毒,但是火绒查杀也没问题。目前在跟火绒反馈。
也受 process explorer 影响,打开就消失,关闭就出现。给 pe 改了个名才不影响。能抓到请求是到 95-215-206-71.netherlands-2.vps.ac 这个地址。
Supplement 1 · Apr 19, 2025
哎主要是一开任务管理器就没啥占用了,一开始没当回事,都不知道这玩意有多久了,不好分析是什么东西导致的。倒是装过 tailscale ,很早之前也跑过 frp 。
Supplement 2 · Apr 20, 2025
有一说一还得是蛊王,火绒全盘查杀也没找出来,下了个 360 杀毒杀了一下解决了
13 replies • 2025-04-20 19:22:36 +08:00
 |
1
Cooky Apr 19, 2025
pe 能用了就把文件路径找出来再把文件复制出来传网页杀毒看看呗
|
 |
3
crab Apr 19, 2025
用 Procmon 抓取整个系统启动过程
|
 |
4
zictos Apr 19, 2025
任务管理器里先添加“命令行”列,列里面没有任何命令信息吗?
|
 |
5
hhacker Apr 19, 2025
听起来很符合病毒或后门的特征
|
 |
8
jadehare OP @hhacker 抓了内存字符串喂给 gpt 说是“Themida 加壳、内嵌 XMRig 挖矿程序的可执行文件。它被注入或伪装成 cmd 进程运行,占用 CPU 进行门罗币( Monero )挖矿,并带有大量网络‑RPC 、反调试和隐藏特征,是典型的挖矿木马/后门。”
|
 |
9
tangmanger Apr 19, 2025
哈哈 典型挖矿 程序 不打开任务管理器会占很高 鸡贼 写个程序 自己抓 cpu 占有 到时会找到文件杀掉 然后 清除 temp 文件夹 检查开机启动 检查服务
|
 |
10
kneo Apr 19, 2025 via Android
狂吃 CPU 还不让你知道,很典型的挖矿。
|
 |
11
billly Apr 19, 2025
可能是挖矿的,我之前也中挖矿病毒,我不动的时候,风扇狂转;我开始打游戏,风扇就不怎么转了
|
 |
12
rich4rd Apr 20, 2025
目测是挖矿,装个 Sysmon ,记录一下进程的父子进程调用关系,以及进程的参数,看看是什么进程拉起的它,看看进程参数是什么
|
 |
13
ysc3839 Apr 20, 2025 via Android
大概率是病毒,建议重装系统。
|
Select Language