瓦特？电脑居然中了挖矿病毒！

文章摘要chatGPT

standby chatGPT responsing..

wup.exe

相信如果中过招的人一看到这个进程就明白了，咱这是中了 挖矿病毒 了woc！万万没想到我也有被别人薅羊毛的一天。。啊，一万只草泥马在心中奔腾~~

中招的原因我觉得是 软件捆绑 ，因为我最近去 sordum 下载了不少工具（当然了！sordum 上的工具都是正规的，不排除被植入网页广告的原因，因为这昨天早上我跳了几次网页广告！）

Distribution Method：Software bundling, Intrusive advertisement, redirects to shady sites etc.

上网找了下，看下病毒特征：

wup.exe is a Trojan Coin Miner that uses the contaminated computer system’s sources to mine electronic money without your consent. It can be Monero, Bitcoin, DarkCoin or Ethereum.Source: https://howtofix.guide/wup-exe-trojan/

wup.exe 进程将使用超过 70% 的 CPU 功率以及显卡资源。Wup.exe 可能会在删除后自动重新安装

这意味着，当矿工运行时，您肯定会发现您的计算机运行缓慢，并且由于wup.exe利用计算机系统的资源自己产生收入这一事实，电子游戏也步履蹒跚或死机。 。这将导致您的CPU在高温下长时间运行，这可能会缩短CPU的寿命。

除了减慢计算机速度外，长时间在峰值水平运行可能会损坏您的设备并增加电能费用。

当 PC 感染了 wup.exe 木马时，典型的体征和症状包括：

• 非常高的CPU和显卡的使用率
• Windows 减少和最大化缓慢，程序运行速度较慢。
• 程序运行缓慢，使用 PC 时迟钝。

总结：真 t m d 坑！

天有不测风云

ok，回顾一下怎么发现的（这不废话吗，任务管理器进程一看就不对劲）是因为昨天上班的时候，早上莫名其妙浏览器弹窗好几次，当时我还没太在意，结果就是那个时候开始的，真是大意失荆州呀！（期间我还用 sordum 的工具禁用了 defender，罪过啊，早知道不禁用了，虽然不知道有没有用..已被证实 wup.exe 会自动让 defender 添加信任233）

说实话今天发现进程后挺意外的，毕竟这玩意我没搞过，也不知道咋整，电脑除了自带 defender 全程裸奔（这下好了，我没有乱上网站哈），我百度了下 wup.exe 知道是挖矿病毒之后用 wisejet 全盘搜了下 wup.exe 和 csrss 这两货，就在c盘，不过照网上说的删也没用禁止访问也没用（我还用askadmin禁用了，当然结果不出意料不好使，毕竟现学现用），然后我开始往杀毒软件方向想

wup.exe/csrss/csrss.exe

360杀毒

首先想到的居然是360，毕竟国内老大哥hhh。而且当年 wannacry 勒索病毒的时候，360还是出了点风头的，完事我就去下了个 360杀毒（没下安全卫士）然后全盘扫描（很慢，然后刚开始扫出来的十来个“病毒”都和上面两个进程没啥关系，所以我考虑第二个软件

360杀毒软件

卡巴斯基

是的，其次想到的是相对比较权威的 卡巴斯基（显卡吧推荐hhh）的确很多时候都有用，想的是先用免费版把矿?删了。不过下载过程很缓慢，期间我又考虑了第三款杀毒软件

卡巴斯基

火绒安全

嗯，火绒。国内还蛮出名的那段时间，咱这也不讨论它咋咋咋，我只想把挖矿病毒除了，它和卡巴谁下的快我就用啥，结果很明了

火绒安全

火绒还是不错的，我一开始自定义了扫描C盘，结果一开始就把 wup.exe 给扫出来了，还给标记了 CoinMiner（挖矿病毒）可以的火绒，然后我等他扫了半个小时，完成了C盘的查杀

扫出来了几个相关的

其他方案

网上有很多方案，不过很多是治标不治本的，不值得去折腾（主要是怕留后患）

如何解决wup.exe文件占用cpu资源

使用管理员打开CMD命令框，输入命令（禁止csrss.exe和wup.exe打开）

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\csrss.exe” /v debugger /t reg_sz /d debugfile.exe /f

reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wup.exe” /v debugger /t reg_sz /d debugfile.exe /f

虽然这个方法没有根本上解决这个病毒，但是起码wup.exe不会占用cpu了。

目前情况

还没有完成全盘扫描，当然了，也是趁这个空来写篇记录（后续有任何情况都会在这里同步更新），目前还不清楚这个挖矿病毒是什么原因导致的，所以还不能卸载杀毒软件，目前也乖乖把 windows defender 打开了（世界太险恶我必须得撤啊！目前扫描了2小时多，东西多是因为我以前更换过硬盘，而且把以前磁盘里的东西都拷到新硬盘了）

全盘扫描的代价自然是很多和*谐文件会被杀掉

附一份火绒查杀日志： hrlog.txt 我真的没有浏览那啥哈哈哈，蛋疼。。

完成扫描

3个小时扫描了180多万对象

参考资料

wup.exe Process – What is wup.exe file? 俄罗斯黑客又作妖？国内用户遭袭击