记录一次电脑被入侵用来挖矿的过程(Trojan、Miner、Hack、turminoob)

文章目录

0、总结

  • 【断网或许可以中断挖坑行为】(尝试的过程中发现,断网过一会后,风扇就降下来了,一旦开启风扇就猛转超大声!估计一些逻辑需要联网才能执行)
  • 【断网后启动杀毒软件】,进行杀毒隔离木马文件(下载安装不了或者启动不杀毒软件的话,就得另外想办法了,比如结束挖坑进程之类的。我的是更新系统后出来的,别的方式没验证尝试过)
  • 【删除注册表遗留(谨慎操作)】,我的是因为提示找不到入侵者设置的自启动找不到对应的被删掉的木马模块hrsv.cb觉的很烦,所以就处理了。(hrsv.cb看命名,估计是木马程序的启动模块,通过计划启动模块回调,然后就能启动挖矿的必要进程)
  • 不得不说命名真规范,看到:Trojan、CoinMiner、Backdoor、HackTool等就得注意了。注册表里面是turminoob这个名字比较值得注意的。

1、背景

1、要远程,然后去装向日葵,搜了后点了个靠前的网址下载,结果双击几次都没看到什么(这个下载的很快),并没有在意【估计就是这个被入侵了】。

2、后面又换个网址下载,成功安装了。接下来就开着电脑去上班了。就这样挂了好几天,直到周六。

2、端倪

1、开机------过一会------风扇自动开启类似猛兽模式。

2、联想软件管家打不开、微软自带杀毒也没有启动。

3、网页能打开,但是打开浏览器和别的软件都很卡。

这时候感觉就不对劲了,我想不会吧刚买的就要坏了!?

4、重启了好几遍,发现关机会出现以下蓝屏上报错误信息再重启。(风扇实在太大声了)

5、鲁大师能开,开了当时也没看出啥,好像啥都正常。

3、有个微软的系统更新,就想着更新看看(能否冲掉问题)

顶着猛猛转的风扇,下载了好一会,终于下载安装,然后系统开始重启完成更新。

貌似过程有啥不对劲,然后又撤回了更新(即没有成功更新)

4、更新没成功,自动重启电脑

这个时候自带的联想软件管家出来了!

点了一波杀毒

5、风险文件(好家伙命名还挺规范,一看名字就知道出问题了)

检出来后隔离,竟然有2个隔离不成功!!!

后面又下载了腾讯软件管家,一开始还装不了,后面又下载了离线包,断网安装才成功。

用腾讯的又检出几个异常成功处理。

6、开机有一些注册表注册的自启动,会主动调用一些木马模块

杀毒软件不是已经隔离掉木马文件了吗,入侵者设置的自启动执行时就会出现一些找不到模块报错如下图(一开始还以为是系统更新没成功导致的,后面发现不是)

经过不断尝试排查,处理方式是到注册表找到对应的计划启动的注册信息删除掉(谨慎操作),就没有这个调用找不到模块报错了。

7、重启后,稳定!

没有报找不到模块(说明没有自启动),

没有风扇猛猛转(应该就是解决掉了!)

相关推荐
呉師傅12 小时前
佳能iR-ADV C5560复印机如何扫描文件到电脑
运维·网络·windows·计算机外设·电脑
Risehuxyc1 天前
USB Type-c
电脑
AORO20252 天前
天通卫星赋能三防智能平板:AORO P1100打造全域通信新范式
网络·5g·电脑·制造·信息与通信
AORO20252 天前
北斗短报文兜底、5G-A增强:AORO P1100三防平板构建应急通信网络
网络·5g·电脑·制造·信息与通信
介一安全2 天前
【Web安全】逻辑漏洞之URL跳转漏洞:原理、场景与防御
安全·web安全·安全威胁分析·安全性测试·逻辑漏洞·url跳转
yayapoi~3 天前
两台电脑连接交换机,使用其中一台电脑的网络上网(NAT转发)
网络·电脑
AORO20253 天前
遨游三防平板|国产芯片鸿蒙系统单北斗三防平板,安全高效
5g·安全·电脑·制造·信息与通信·harmonyos
Tipriest_3 天前
如何判断自己的电脑或主机是否支持DDR5内存?
电脑·内存·ddr4·ddr5·主机检测工具
科技人生3 天前
电脑windows系统深度维护指南
windows·电脑
luchengtech3 天前
IP43半加固笔记本L156H
电脑·三防笔记本·加固计算机