记录一次电脑被入侵用来挖矿的过程(Trojan、Miner、Hack、turminoob)

文章目录

0、总结

  • 【断网或许可以中断挖坑行为】(尝试的过程中发现,断网过一会后,风扇就降下来了,一旦开启风扇就猛转超大声!估计一些逻辑需要联网才能执行)
  • 【断网后启动杀毒软件】,进行杀毒隔离木马文件(下载安装不了或者启动不杀毒软件的话,就得另外想办法了,比如结束挖坑进程之类的。我的是更新系统后出来的,别的方式没验证尝试过)
  • 【删除注册表遗留(谨慎操作)】,我的是因为提示找不到入侵者设置的自启动找不到对应的被删掉的木马模块hrsv.cb觉的很烦,所以就处理了。(hrsv.cb看命名,估计是木马程序的启动模块,通过计划启动模块回调,然后就能启动挖矿的必要进程)
  • 不得不说命名真规范,看到:Trojan、CoinMiner、Backdoor、HackTool等就得注意了。注册表里面是turminoob这个名字比较值得注意的。

1、背景

1、要远程,然后去装向日葵,搜了后点了个靠前的网址下载,结果双击几次都没看到什么(这个下载的很快),并没有在意【估计就是这个被入侵了】。

2、后面又换个网址下载,成功安装了。接下来就开着电脑去上班了。就这样挂了好几天,直到周六。

2、端倪

1、开机------过一会------风扇自动开启类似猛兽模式。

2、联想软件管家打不开、微软自带杀毒也没有启动。

3、网页能打开,但是打开浏览器和别的软件都很卡。

这时候感觉就不对劲了,我想不会吧刚买的就要坏了!?

4、重启了好几遍,发现关机会出现以下蓝屏上报错误信息再重启。(风扇实在太大声了)

5、鲁大师能开,开了当时也没看出啥,好像啥都正常。

3、有个微软的系统更新,就想着更新看看(能否冲掉问题)

顶着猛猛转的风扇,下载了好一会,终于下载安装,然后系统开始重启完成更新。

貌似过程有啥不对劲,然后又撤回了更新(即没有成功更新)

4、更新没成功,自动重启电脑

这个时候自带的联想软件管家出来了!

点了一波杀毒

5、风险文件(好家伙命名还挺规范,一看名字就知道出问题了)

检出来后隔离,竟然有2个隔离不成功!!!

后面又下载了腾讯软件管家,一开始还装不了,后面又下载了离线包,断网安装才成功。

用腾讯的又检出几个异常成功处理。

6、开机有一些注册表注册的自启动,会主动调用一些木马模块

杀毒软件不是已经隔离掉木马文件了吗,入侵者设置的自启动执行时就会出现一些找不到模块报错如下图(一开始还以为是系统更新没成功导致的,后面发现不是)

经过不断尝试排查,处理方式是到注册表找到对应的计划启动的注册信息删除掉(谨慎操作),就没有这个调用找不到模块报错了。

7、重启后,稳定!

没有报找不到模块(说明没有自启动),

没有风扇猛猛转(应该就是解决掉了!)

相关推荐
xsc-xyc15 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
Digitally15 天前
如何快速将文件从电脑传输到平板电脑
stm32·嵌入式硬件·电脑
X7x515 天前
深度拆解网络安全“闭环”之王——APPDRR模型
网络安全·网络攻击模型·安全威胁分析·安全架构·appdrr模型
X7x515 天前
一文讲透PADIMEE模型
网络安全·网络攻击模型·安全威胁分析·安全架构·padimee模型
想你依然心痛16 天前
手机远程控制电脑教程:安卓iOS远程桌面推荐、免费工具配置与远程办公技巧
android·智能手机·电脑
王小王-12316 天前
基于电脑硬件市场数据分析与可视化系统
数据库·数据分析·django·sqlite·电脑·电脑硬件数据·电脑硬件市场分析
老高学长16 天前
企业如何对局域网电脑进行监控?五个局域网电脑实时监控的方法分享,全方位监控电脑
网络·安全·电脑
herinspace16 天前
管家婆云辉煌开单优化
服务器·数据库·电脑·管家婆软件·财务软件
开开心心_Every16 天前
近200个工具的电脑故障修复合集
linux·运维·服务器·leetcode·智能手机·电脑·模拟退火算法
云飞云共享云桌面16 天前
集中算力・统一数据・高效协同:SolidWorks 云桌面方案详解
运维·服务器·人工智能·安全·3d·电脑·制造