作者mlbgary1994 (bluesky)
看板AntiVirus
标题[求救] 恶意挖矿程式 nvxmrsync.exe
时间Sun Feb 25 13:55:47 2018
███████发文时,如果文字没有颜色,可以使用「Ctrl+V」开启颜色███████
1. 叙述问题:
上周发现实验室的电脑效能低落,查看工作管理员发现是nvxmrsync.exe在使用大量
CPU(
https://i.imgur.com/S9SmtwE.jpg),查看路径是在另一个使用者adminstrator里面
,但我平常是用granite使用者,adminstrator非我使用,有先後使用pc-cillin(注)、
卡巴斯基扫过,扫描结果都无异常,试过手动删除,但过一阵子就会自动跑出来,
网路上大多数文章都来自某防毒程式,有试过但似乎无效,且要付费,想请板尚上专家们
帮忙想个办法,谢谢。
注:pc-cilin多次发生未知原因防毒本身被移除
2. 系统资料:
win7
3. 分析报告:
Combofix报告:
Hijackthis :
SRENG :
防毒软体报告:
https://i.imgur.com/n6wkCO9.jpg
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 140.112.10.91
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1519538151.A.8C8.html
1F:→ mlbgary1994: 本人自身未有任何挖矿行为 02/25 13:57
2F:→ KevinYu0504: 请试试 Malwarebytes 及 Zemana Antimalware 这两套 02/25 14:20
3F:→ KevinYu0504: 扫瞄看看。 02/25 14:20
4F:推 dannana: 竟然连kis都扫不到哦? 02/25 16:08
5F:→ dennisxkimo: 如果是纯挖矿程式 不被当作病毒也很正常 02/25 16:19
6F:→ dennisxkimo: 该找出的是 重新产生并执行挖矿程式的病毒主体 02/25 16:21
7F:→ dennisxkimo: 不然就是太新了还没被举报为病毒常用挖矿程式 02/25 16:24
8F:→ dennisxkimo: 挖矿病毒 多数不会把挖矿程式放在桌面 会藏起来 02/25 16:26
9F:→ dennisxkimo: 不过最近发现偷挖限制50%趋势(全开很快会被报修发现) 02/25 16:27
10F:推 waterblue85: 这台电脑有其他使用者吗? 02/25 17:33
电脑只有我使用,administrator以前没被开启(印象中),目前我是关闭admini使用者,
不知能否解决
※ 编辑: mlbgary1994 (140.112.10.91), 02/25/2018 19:04:12
11F:推 DINJIAPC: 请趋势客服处理啊 02/25 20:57
12F:推 godchildtw: 程式固定在一个资料夹的话,手动删掉,新增一个同名档 02/25 23:44
13F:→ godchildtw: 案,设定成 唯读 隐藏 系统 attrib *.exe +r +h +s -a 02/25 23:45
14F:→ godchildtw: 只是如果他够厉害的话,还是会先把这档案删掉再生出来 02/25 23:48
16F:推 wkshiao: 可能是nVidia显卡驱动问题 02/26 14:24
18F:→ wkshiao: Google找到的根本不是正确资讯,都是那些程式的广告 02/26 14:26
19F:→ DINJIAPC: 扫描器只能处理已知的恶意程式,就是要检视那些恶意可 02/26 17:44
20F:→ DINJIAPC: 疑的当案才需要创建log啊要搞麻烦事又不跑报告出来。那 02/26 17:44
21F:→ DINJIAPC: 不如不要问 自己先重灌好了 02/26 17:44
※ 编辑: mlbgary1994 (140.112.10.91), 02/26/2018 18:45:28
22F:推 DINJIAPC: 再来你实验室有没有区网?谁在管理?谁能连入电脑?你 02/26 19:43
23F:→ DINJIAPC: 不在之後学长弟会不会白烂来加减挖? 02/26 19:43
24F:→ DINJIAPC: 图示注释很明显写了是挖矿器了.... 02/26 19:44
25F:→ DINJIAPC: 你那台nod32有再用?系统版本也不写明 你真当这里叫防 02/26 19:47
26F:→ DINJIAPC: 毒客服版吗? 02/26 19:47
27F:推 saimeitetsu: 看他用哪个port, 通通黑掉 03/06 17:34