4日晚上,打开任务管理器的时候发现CPU使用一直在80%,是 wup.exe 占用的,同时还占用了2G内存,低优先级运行,用户名 SYSTEM,很不正常,于是开始排查。
发现这玩意是上午十点左右中的,仔细回想那时段并无敏感操作,也没有程序要权限,大概是通过某些漏洞传播的罢。
具体行为
- 程序列表里多了个
CloudNet,且难以卸载 - 在C盘创建了
wup文件夹和伪装的rss文件夹(都是隐藏的),用来放自己的木马程序 - 在C盘创建了伪装的
Windows Defender文件夹,放了个伪装的程序 - 在临时目录(
%TMP%)创建了wup文件夹和rss文件夹(都是隐藏的),似乎是挖矿程序,里面还有netstat.exe等文件,占用资源的程序就是从这里运行的 - 把自己添加到信任列表(这条是别人说的,我裸奔的不知道
- 注册表写了一堆东西,具体不列了
解决方法
手动解决:
- 用
TotalUninstall等软件卸载CloudNet删除相关文件和注册表 - 删除上述目录,【注意!!】正常的
csrss是系统组件,手动删除伪装病毒时注意辨别! - 用火绒再查一遍,然后重启
电脑管家没用,360或许可以
联动
本文的描述应该更完整吧,如果帮到你了还请点个赞
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
