我的surfacebook不知道从什么时候开始,只要一会儿不操作就会开始风扇狂转,每次风扇开始狂转我都会尝试查找到底是什么东西在抽风。
我用了很多办法,像是蹲守任务管理器,蹲守任务计划的正在运行的任务都找不到到底是哪个程序在抽风,最终用process explorer定位到有时候是一个TiWorker.exe进程,有的时候是System进程,然后又打开System进程的线程列表观察,只能等它抽风,因为鼠标一动就会停止,System进程里抽风的线程名称我忘了,只记得我查过它的用处好像是在空闲时间优化.net框架下的什么东西。然后我又查了一下关于TiWorker.exe的异常行为,基本都说是windows更新在电脑空闲的时候执行更新任务,我就信了。
接着就是很长时间我都没再管这个问题,想想更新就更吧,顶多就是风扇开始狂转的时候动一下鼠标就停了。
但是昨天我才发现我的电脑根本就不能进入睡眠状态了,就算是我手动点睡眠,它也只是屏幕黑掉之后开始风扇狂转。我就觉得这肯定不对了,再怎么样更新也不会在你点了睡眠之后开始更,而且除非我手动再次点亮屏幕,否则风扇根本就不会停下来。
于是我怀疑是不是中了挖矿病毒,再次开始搜索相关关键词,这次搜到了这篇文章“别被TiWorker.exe骗了,搞不好有人在用你电脑挖矿”,异常行为有点像,但是他所说的文件我一个都没找到,进PE在IME目录下也没有任何多余的目录,鉴于这是2年前的文章,那么我中的病毒可能已经是个变体了。
然后我又找到了这么一篇文章“【情報】TiWorker.exe 挖礦軟體移除”,文章是2020年的,里面的移除方法应该是没用了,不过我参考它用Autoruns翻了一下所有启动项,感觉有一个东西很可疑,但我不能确定它一定有问题。这是任务计划下面的”NUSER_ESRV_SVC_QUEENCREEK”任务,它执行的是”c:\program files\intel\sur\queencreekx64\task.vbs”,我觉得它奇怪是因为不理解它为什么不直接启动最终的exe,而是先执行这个task.vbs,它里面又调用了task.bat,这个bat里面再去启动最终的exe,不过这个最终的exe是有intel数字签名的程序。另一个可疑点是只要我用Autoruns尝试删除这个计划,Autoruns的进程就会被杀掉,照理说就算是权限不足那也顶多报个错,这样把企图删除这个计划的进程杀掉算什么意思。
最后由于还是不能确定到底是什么地方启动了病毒程序,火绒又没发现什么异常,只能装上臭名远扬的360杀毒来进行一次全盘扫描,都说要用流氓对付流氓,还真扫出来几个病毒:
- ScanPort.exe [识别为:木马程序(Trojan.Generic)] 一个用来扫描局域网端口的小工具,其实它一直以来被扫到都会报毒,我考虑到可能是工具的性质问题导致的误报,而且这个程序在我的其它电脑上也执行过,没发现过产生什么异常,所以从来都是设为信任的,不过这次我没信任它。
- wxray.exe [识别为:Win64/Trojan.Generic.HgEAS8UA] 这个程序在v2rayN的目录中,用于处理v2ray的代理工作,同样文件名的程序在我的台式机中用360扫描没有报毒,那么surfacebook里这个程序可能是后期被感染了,当然也不排除v2rayN某一次更新自己就携带了这个病毒。我同学之前就被我发现他的v2ray主程序都被感染了,他的v2ray.exe甚至有个奇怪的icon,而且v2rayN.exe还有wv2ray.exe都带上了”HD_”前缀,也许是一种对代理软件有针对性的感染。
- AEFT-css-generated-50-main-scss.bundle.js [识别为:virus.js.qexvmc] 这个文件在”C:\Program Files (x86)\Common Files\Adobe\CEP\extensions\CC_LIBRARIES_PANEL_EXTENSION_2_14_207\css\”中,看名字是个和从scss生成css有关的js文件,不过我没去细看内容,暂不确定有何影响。
- AEFT-css-generated-50-main-scss.bundle.js [识别为:virus.js.qexvmc.2] 和上一个文件名相同但病毒代号和位置不同,在”C:\Program Files (x86)\Common Files\Adobe\Creative Cloud Libraries\Resources\panels\CC_LIBRARIES_PANEL_EXTENSION_2_14_207\Contents\css\”下。
这次我一共删掉了intel sur目录和以上4个识别为病毒的文件,重启之后经过手动睡眠和闲置等待之后没有再出现风扇狂转的情况,应该是把病毒杀掉了,不过也是因为没有在删除每个东西之后单独测试,所以不知道到底是哪个携带了真正导致这个情况的病毒。在这个过程中我觉得最可疑的是这个被感染的wxray.exe,因为它在我进行全盘扫描时没有操作电脑一段时间之后单独触发了一次360的病毒拦截,但火绒没报,我认为很可能就是它一直在部署病毒并挖矿。
最后对于网上那些斩钉截铁说TiWorker.exe是windows更新相关的正常进程所以不会有问题的回答,可以确定是错误的了,如果你的电脑有以下异常行为之一,不用怀疑,一定是病毒:
- 空闲几分钟后必然出现高占用程序开始运行(就算是win更新也不会永远都有任务需要执行),并且一动鼠标或键盘后该程序立刻退出(正常任务不可能随时都能停止)。
- 打开任务管理器后CPU的高占用状态立刻恢复(恶意进程企图避免被你发现是它在运行)。
- 进入睡眠模式后CPU立刻开始高负载,体现为风扇高速转(实际就是无法进入睡眠模式)。
============2023/7/27 更新============
电脑中又出现了一个”ngen.exe”也出现了类似的行为,查看数字签名全是微软的,恐怕是恶意程序利用这些程序的漏洞在执行恶意代码。
本文发布于 https://luojia.me
本站文章未经文下加注授权不得拷贝发布。