以防读者是中招,寻求解决方法的,所以就直接进入主题。

中毒特征

  • 电脑反应迟
  • 任务管理器中存在一个名为MicrosftEdgeCP.exe的进程
  • (可能)在任务计划程序库中有一项名为csapu的计划,详细请看图(来自金山毒霸):

解决方法

  • 如果计划任务中有上图的触发任务,先删除。
  • 进入C:\Users\Public删除红圈内文件:

    其中MicrosftEdgeCP.exe可能应被使用中,无法删除。请进入安全模式或PE删除即可。

  • 进入C:\ProgramData删除以下文件:(该目录是隐藏目录,怎么显示请百度win10查看隐藏目录)

    • Officekms.exe
    • WinRing0x64.sys
    • Gtt.exe
    • Go.exe
    • Nb.exe
    • Office.exe
  • 如果电脑有迅雷,可选择卸载并使用everythin查找和删除全部的XLBugReport.exe文件。(确认查杀病毒后再装迅雷)
  • 以防万一,使用你认为好的杀软进行一次系统盘或全盘符查杀。我用的是火绒(版本5.0.41.2,病毒库2020-03-31)。

检验是否查杀成功

将电脑置于低功耗状态,也就是开机丢在哪里。查看后台是否有MicrosftEdgeCP.exe 和出现 CPU 占用异常等情况。

危害性

由于这个病毒,有利用 永恒之蓝 漏洞,进行局域网内传播的行为,因此务必尽快查杀,避免感染局域网其他机器。

病毒的一部分文件(可能)能够通过安全软件的文件扫描,亲测有金山(2020-04-03官网最新版)、火绒(5.0.41.2)。这部份文件在C:\Users\Public

金山文章中分析得出病毒使用白加黑手段,用迅雷模块加载病毒。

# 尾巴

我中的视乎是已经是变种的了(2020年4月3日),与金山文章分析的有所不同。我没有查到有相同启动功能的计划任务,挖矿程序也变成了是MicrosftEdgeCP.exe

对金山文章分析的文件描述再补充:

Officekms.exe 挖矿程序

MicrosftEdgeCP.exe 挖矿程序

WinRing0x64.sys CPU信息检出

Gtt.exe 挖矿,驱动保护

Go.exe 挖矿,驱动保护

Nb.exe 挖矿程序

Office.exe 横向传播,漏洞利用

aaaa.exe 自动解压的压缩包包含有永恒之蓝传播脚本,挖矿的使用文件

1 加压出来的永恒之蓝传播脚本

eh 挖矿的使用文件和everything

病毒存储网址:https://cs.sslsngyl90.com、https://img.vim-cn.com

相关链接:

“匿影”挖矿病毒再度来袭, 小心电脑沦为他人工具!

关于最近的挖矿病毒“匿影”中毒后的一次手动查杀记录

Last modification:April 16th, 2020 at 04:23 pm