当前位置：首页 > news >正文

记录一次电脑被入侵用来挖矿的过程（Trojan、Miner、Hack、turminoob）

news 2025/6/22 11:30:13

文章目录

- 0、总结
- 1、背景
- 2、端倪
- 3、有个微软的系统更新，就想着更新看看（能否冲掉问题）
- 4、更新没成功，自动重启电脑
- 5、风险文件（好家伙命名还挺规范，一看名字就知道出问题了）
- 6、开机有一些注册表注册的自启动，会主动调用一些木马模块
- 7、重启后，稳定！

0、总结

【断网或许可以中断挖坑行为】（尝试的过程中发现，断网过一会后，风扇就降下来了，一旦开启风扇就猛转超大声！估计一些逻辑需要联网才能执行）
【断网后启动杀毒软件】，进行杀毒隔离木马文件（下载安装不了或者启动不杀毒软件的话，就得另外想办法了，比如结束挖坑进程之类的。我的是更新系统后出来的，别的方式没验证尝试过）
【删除注册表遗留（谨慎操作）】，我的是因为提示找不到入侵者设置的自启动找不到对应的被删掉的木马模块hrsv.cb觉的很烦，所以就处理了。（hrsv.cb看命名，估计是木马程序的启动模块，通过计划启动模块回调，然后就能启动挖矿的必要进程）
不得不说命名真规范，看到：Trojan、CoinMiner、Backdoor、HackTool等就得注意了。注册表里面是turminoob这个名字比较值得注意的。

1、背景

1、要远程，然后去装向日葵，搜了后点了个靠前的网址下载，结果双击几次都没看到什么（这个下载的很快），并没有在意【估计就是这个被入侵了】。
2、后面又换个网址下载，成功安装了。接下来就开着电脑去上班了。就这样挂了好几天，直到周六。

2、端倪

1、开机——过一会——风扇自动开启类似猛兽模式。
2、联想软件管家打不开、微软自带杀毒也没有启动。
3、网页能打开，但是打开浏览器和别的软件都很卡。
这时候感觉就不对劲了，我想不会吧刚买的就要坏了！？
4、重启了好几遍，发现关机会出现以下蓝屏上报错误信息再重启。（风扇实在太大声了）
5、鲁大师能开，开了当时也没看出啥，好像啥都正常。

3、有个微软的系统更新，就想着更新看看（能否冲掉问题）

顶着猛猛转的风扇，下载了好一会，终于下载安装，然后系统开始重启完成更新。
貌似过程有啥不对劲，然后又撤回了更新（即没有成功更新）

4、更新没成功，自动重启电脑

这个时候自带的联想软件管家出来了！
点了一波杀毒

5、风险文件（好家伙命名还挺规范，一看名字就知道出问题了）

在这里插入图片描述
检出来后隔离，竟然有2个隔离不成功！！！

后面又下载了腾讯软件管家，一开始还装不了，后面又下载了离线包，断网安装才成功。
用腾讯的又检出几个异常成功处理。

6、开机有一些注册表注册的自启动，会主动调用一些木马模块

杀毒软件不是已经隔离掉木马文件了吗，入侵者设置的自启动执行时就会出现一些找不到模块报错如下图（一开始还以为是系统更新没成功导致的，后面发现不是）
在这里插入图片描述
经过不断尝试排查，处理方式是到注册表找到对应的计划启动的注册信息删除掉（谨慎操作），就没有这个调用找不到模块报错了。

7、重启后，稳定！

没有报找不到模块（说明没有自启动），
没有风扇猛猛转（应该就是解决掉了！）