文章摘要moonshot-v1-8k
Standby API Responsing..
wup.exe
相信如果中过招的人一看到这个进程就明白了,咱这是中了 挖矿病毒 了woc!万万没想到我也有被别人薅羊毛的一天。。啊,一万只草泥马在心中奔腾~~
中招的原因我觉得是 软件捆绑 ,因为我最近去 sordum 下载了不少工具(当然了!sordum 上的工具都是正规的,不排除被植入网页广告的原因,因为这昨天早上我跳了几次网页广告!)
Distribution Method:Software bundling, Intrusive advertisement, redirects to shady sites etc.
上网找了下,看下病毒特征:
wup.exe is a Trojan Coin Miner that uses the contaminated computer system’s sources to mine electronic money without your consent. It can be Monero, Bitcoin, DarkCoin or Ethereum.Source: https://howtofix.guide/wup-exe-trojan/
wup.exe 进程将使用超过 70% 的 CPU 功率以及显卡资源。Wup.exe 可能会在删除后自动重新安装
这意味着,当矿工运行时,您肯定会发现您的计算机运行缓慢,并且由于wup.exe利用计算机系统的资源自己产生收入这一事实,电子游戏也步履蹒跚或死机。 。这将导致您的CPU在高温下长时间运行,这可能会缩短CPU的寿命。
除了减慢计算机速度外,长时间在峰值水平运行可能会损坏您的设备并增加电能费用。
当 PC 感染了 wup.exe 木马时,典型的体征和症状包括:
- 非常高的CPU和显卡的使用率
- Windows 减少和最大化缓慢,程序运行速度较慢。
- 程序运行缓慢,使用 PC 时迟钝。
总结:真 t m d 坑!
天有不测风云
ok,回顾一下怎么发现的(这不废话吗,任务管理器进程一看就不对劲)是因为昨天上班的时候,早上莫名其妙浏览器弹窗好几次,当时我还没太在意,结果就是那个时候开始的,真是大意失荆州呀!(期间我还用 sordum 的工具禁用了 defender,罪过啊,早知道不禁用了,虽然不知道有没有用..已被证实 wup.exe 会自动让 defender 添加信任233)
说实话今天发现进程后挺意外的,毕竟这玩意我没搞过,也不知道咋整,电脑除了自带 defender 全程裸奔(这下好了,我没有乱上网站哈),我百度了下 wup.exe 知道是挖矿病毒之后用 wisejet 全盘搜了下 wup.exe 和 csrss 这两货,就在c盘,不过照网上说的删也没用禁止访问也没用(我还用askadmin禁用了,当然结果不出意料不好使,毕竟现学现用),然后我开始往杀毒软件方向想
360杀毒
首先想到的居然是360,毕竟国内老大哥hhh。而且当年 wannacry 勒索病毒的时候,360还是出了点风头的,完事我就去下了个 360杀毒(没下安全卫士)然后全盘扫描(很慢,然后刚开始扫出来的十来个“病毒”都和上面两个进程没啥关系,所以我考虑第二个软件
卡巴斯基
是的,其次想到的是相对比较权威的 卡巴斯基(显卡吧推荐hhh)的确很多时候都有用,想的是先用免费版把矿?删了。不过下载过程很缓慢,期间我又考虑了第三款杀毒软件
火绒安全
嗯,火绒。国内还蛮出名的那段时间,咱这也不讨论它咋咋咋,我只想把挖矿病毒除了,它和卡巴谁下的快我就用啥,结果很明了
火绒还是不错的,我一开始自定义了扫描C盘,结果一开始就把 wup.exe 给扫出来了,还给标记了 CoinMiner(挖矿病毒)可以的火绒,然后我等他扫了半个小时,完成了C盘的查杀
其他方案
网上有很多方案,不过很多是治标不治本的,不值得去折腾(主要是怕留后患)
如何解决wup.exe文件占用cpu资源
使用管理员打开CMD命令框,输入命令(禁止csrss.exe和wup.exe打开)
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe” /v debugger /t reg_sz /d debugfile.exe /f
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wup.exe” /v debugger /t reg_sz /d debugfile.exe /f
虽然这个方法没有根本上解决这个病毒,但是起码wup.exe不会占用cpu了。
目前情况
还没有完成全盘扫描,当然了,也是趁这个空来写篇记录(后续有任何情况都会在这里同步更新),目前还不清楚这个挖矿病毒是什么原因导致的,所以还不能卸载杀毒软件,目前也乖乖把 windows defender 打开了(世界太险恶我必须得撤啊!目前扫描了2小时多,东西多是因为我以前更换过硬盘,而且把以前磁盘里的东西都拷到新硬盘了)
全盘扫描的代价自然是很多和*谐文件会被杀掉
附一份火绒查杀日志: hrlog.txt 我真的没有浏览那啥哈哈哈,蛋疼。。
完成扫描