WmiPrvSE.exe被注入

2605276004x

poorpaper 发表于 2018-2-18 20:43
不行。。。实际上低限制的程序都是我自己装的。。。

还有记得打开这项，否则卡巴不会检测挖矿的

poorpaper

kxmp 发表于 2018-2-18 21:55
你复制这个一点意义都没有
怀疑有问题直接扔vt上... 扫扫就知道

这方面有点缺乏经验。。。msconfig里面的自启动程序全都取消了，但是像卡巴斯基这样的本身自启动但是却没有显示，是说明msconfig里面显示的不全面吗？ dll被替换解决的话应该是什么怎样的解决思路？检查数字签名吗？

poorpaper

2605276004x 发表于 2018-2-18 22:14
还有记得打开这项，否则卡巴不会检测挖矿的

智障了。。。刚才全盘扫描没开这个，我再试试

poorpaper

2605276004x 发表于 2018-2-18 22:14
还有记得打开这项，否则卡巴不会检测挖矿的

又弄了一下午。。。全盘扫描没找到，全部低限制组禁用注入或者注入不行，信任组逐个禁止联网或者注入也没解决，msconfig下所有的启动项禁止也不行，之前那个链接的截图可能是我搞错了,那几个链接好像都是代{过}{滤}理服务器一类的，根矿池啥的没关系233，现在的情况是开机并联网的一段时间内GPU占用率100，也确实是csrss.exe这个程序在占用，查看了关联的dll数字签名全都通过验证，至于wmiprse为啥会报被注入并不清楚。。。不过暂时没发现GPU在闲时状态下再次满占用
有趣的是在GPU满占用情况下如果拖拽任意程序的窗口占用率会迅速回归正常，停止拖拽又回到100，也是够奇葩的，驱动方面也测试过之前安装的老显驱和新显驱，开机都是满载，但每次重装后GPU占用率都会回归正常，其他时候偶尔也是黑屏一下就回归正常，就是说驱动如果重新启动一次就会正常。。。挺奇怪的，也许我得找找显卡售后

2605276004x

poorpaper 发表于 2018-2-19 17:07
又弄了一下午。。。全盘扫描没找到，全部低限制组禁用注入或者注入不行，信任组逐个禁止联网或者注入也没 ...

你这问题也是够奇葩的不过暂时没发现GPU在闲时状态下再次满占用//没事就好。msconfig下所有的启动项禁止也不行//这有个工具，微软的，很强大，可以查看所有自动运行东东，需以管理员方式运行，你试试

windows7爱好者

重装系统.jpg

poorpaper

2605276004x 发表于 2018-2-19 17:25
你这问题也是够奇葩的不过暂时没发现GPU在闲时状态下再次满占用//没事就好。msconfig下所有的启动 ...

好的，谢谢~ 我再试试

poorpaper

windows7爱好者 发表于 2018-2-19 21:08
重装系统.jpg

之前中过类似威金的木马，重装系统根本没用，装的东西多也不想重装。。。更不要说格盘了。。。幸亏之前那次只是把E盘格了，倒是里面的收藏的各种媒体资源拷贝出来了，不过昨天查到了一个类似gif的病毒，也真是够了，gif都能执行了，前几天还看到tmp可能是病毒，现在真的是草木皆兵了