欢迎:注册 |登录
华南师范大学新陶园论坛 综合信息 IT时代 电脑中zed.exe挖矿病毒了
查看: 4064|回复: 4

[经验分享] 电脑中zed.exe挖矿病毒了

[复制链接]

32

主题

3

听众

589

积分

地上的月影

Rank: 4

0
0
积分
589
帖子
175
威望
22
金钱
686
才华
11
精华
0
性别
学院
化学与环境学院
最后登录
2019-1-20
发表于 2018-7-28 13:39:15 |显示全部楼层
本帖最后由 dqwyy 于 2018-7-28 13:58 编辑

平时电脑除了自带的Windows Defender之外没装杀毒软件,然后几天前Windows Defender多次提醒我检测到恶意软件并移除,一开始我还没在意,以为跟之前一样是把我的KMSpico给移除了,后来想想不太对,毕竟我已经把KMSpico加到白名单了,然后就看了下详细信息,结果发现是挖矿病毒。这件事也成为了我更新很久没有更新过的博客的一个契机。当时我的心情是这样的:



检测到这个挖矿病毒后,我立刻想起了之前的一个奇怪现象。只要鼠标不动一段时间,CPU风扇就会疯狂转,然后动一下鼠标,风扇又会恢复正常。我有时候晚上睡觉前会设置定时关机然后挂一两个小时的种子做种,然后夜深人静爬上床后就听到风扇一直转,有几次还特地下床动一下鼠标。我了个去,现在想起来是这玩意趁我不在的时候挖矿啊,然后我一动鼠标它就自杀进程,所以我在任务管理器里面是发现不了……



然后之所以Windows Defender会反复提示检测到病毒,是因为这玩意被删了之后会自己回来……



就是这玩意,路径在 %TEMP%\nvd\zed.exe ,把文件删了,过个10分钟不动鼠标它又会跑回来,把整个文件夹删掉也是如此。然后Google了一下找到这篇文章,结果发现还有一个病毒在 %TEMP%\ati\alpha.exe ,同样也是删了又会跑回来。

为了证明我的电脑确实是被偷偷挖矿了,便写了个bat挂着检测进程,然后把鼠标拔了等个半小时。
  1. title zed.exe and alpha.exe Process Monitor
  2. :loop
  3. echo %TIME% >> MonitorLog.txt
  4. tasklist /FI "IMAGENAME eq zed.exe" >> MonitorLog.txt
  5. tasklist /FI "IMAGENAME eq alpha.exe" >> MonitorLog.txt
  6. choice /T 60 /D Y
  7. goto loop
复制代码
结果果然……输出文件是这样的

所以约10分钟不动鼠标,zed.exe就会运行了,而alpha.exe没有运行。

最后没办法,试着创建同名文件的方式把zed.exe给删了,然后再创建一个假的。然后运行刚刚的bat检测进程,过了一个小时,发现是正常的,zed.exe也没有运行。输出文件见此

虽然没有根除病毒,但至少不会继续运行了。一想起这挖矿病毒在我电脑里待了一年多了,就mmp了。我记得我一开始的时候电脑能带动七日杀,现在他喵守望先锋甚至我的世界都带不动了。一开始以为是太久没除尘太久没换硅脂的问题,现在觉得也有可能是这挖矿病毒搞的鬼……不过过几天也准备去除一下尘换一下硅脂了,毕竟买到现在3年了都没换过。

如果有类似情况的也要留意一下了……偷偷拿你CPU和GPU挖矿的真是恶心啊……
(╯°□°)╯︵ ┻━┻

Rank: 16Rank: 16Rank: 16Rank: 16

2
0
昵称
路旁的落叶
积分
482
帖子
141
威望
123
金钱
1024
才华
0
精华
0
性别
保密
学院
计算机学院
最后登录
2018-12-28
发表于 2018-7-28 16:26:01 |显示全部楼层
也差不多一年没重装系统了,有点害怕哈哈哈

32

主题

3

听众

589

积分

地上的月影

Rank: 4

0
0
积分
589
帖子
175
威望
22
金钱
686
才华
11
精华
0
性别
学院
化学与环境学院
最后登录
2019-1-20
发表于 2018-7-28 16:29:01 |显示全部楼层
off 发表于 2018-7-28 16:26
也差不多一年没重装系统了,有点害怕哈哈哈

我则是乱七八糟的东西太多了……重装系统或者一键还原要备份有点麻烦,就懒得弄了 _(:3」∠)_

16

主题

11

听众

514

积分

地上的月影

Rank: 4

0
0
昵称
茜瓜与兔子
积分
514
帖子
102
威望
5
金钱
1997
才华
0
精华
0
性别
学院
化学与环境学院
最后登录
2018-8-30
发表于 2018-7-29 13:30:27 |显示全部楼层
全英文的博客,厉害呀
华师 大学城

32

主题

3

听众

589

积分

地上的月影

Rank: 4

0
0
积分
589
帖子
175
威望
22
金钱
686
才华
11
精华
0
性别
学院
化学与环境学院
最后登录
2019-1-20
发表于 2018-7-29 14:27:17 新陶园论坛移动版 |显示全部楼层
茜瓜与兔子 发表于 2018-7-29 13:30
全英文的博客,厉害呀

当练习英语了…其实估计有不少语法错误
_(:з」∠)_
华南师范大学新陶园论坛»论坛 综合信息 IT时代 电脑中zed.exe挖矿病毒了
您需要登录后才可以回帖 登录 | 注册

关于ISCNU|服务协议|通行证|广告服务|隐私保护|加入我们|手机版|Archiver|网站导航

广告合作洽谈\论坛账号处理:

Powered by Discuz! © 2001-2012 Comsenz Inc.

Copyright © 2008-2018 ISCNU. All Rights Reserved

返回顶部