我的surfacebook不知道从什么时候开始,只要一会儿不操作就会开始风扇狂转,每次风扇开始狂转我都会尝试查找到底是什么东西在抽风。
我用了很多办法,像是蹲守任务管理器,蹲守任务计划的正在运行的任务都找不到到底是哪个程序在抽风,最终用process explorer定位到有时候是一个TiWorker.exe进程,有的时候是System进程,然后又打开System进程的线程列表观察,只能等它抽风,因为鼠标一动就会停止,System进程里抽风的线程名称我忘了,只记得我查过它的用处好像是在空闲时间优化.net框架下的什么东西。然后我又查了一下关于TiWorker.exe的异常行为,基本都说是windows更新在电脑空闲的时候执行更新任务,我就信了。
接着就是很长时间我都没再管这个问题,想想更新就更吧,顶多就是风扇开始狂转的时候动一下鼠标就停了。
但是昨天我才发现我的电脑根本就不能进入睡眠状态了,就算是我手动点睡眠,它也只是屏幕黑掉之后开始风扇狂转。我就觉得这肯定不对了,再怎么样更新也不会在你点了睡眠之后开始更,而且除非我手动再次点亮屏幕,否则风扇根本就不会停下来。
于是我怀疑是不是中了挖矿病毒,再次开始搜索相关关键词,这次搜到了这篇文章“别被TiWorker.exe骗了,搞不好有人在用你电脑挖矿”,异常行为有点像,但是他所说的文件我一个都没找到,进PE在IME目录下也没有任何多余的目录,鉴于这是2年前的文章,那么我中的病毒可能已经是个变体了。
然后我又找到了这么一篇文章“【情報】TiWorker.exe 挖礦軟體移除”,文章是2020年的,里面的移除方法应该是没用了,不过我参考它用Autoruns翻了一下所有启动项,感觉有一个东西很可疑,但我不能确定它一定有问题。这是任务计划下面的”NUSER_ESRV_SVC_QUEENCREEK”任务,它执行的是”c:\program files\intel\sur\queencreekx64\task.vbs”,我觉得它奇怪是因为不理解它为什么不直接启动最终的exe,而是先执行这个task.vbs,它里面又调用了task.bat,这个bat里面再去启动最终的exe,不过这个最终的exe是有intel数字签名的程序。另一个可疑点是只要我用Autoruns尝试删除这个计划,Autoruns的进程就会被杀掉,照理说就算是权限不足那也顶多报个错,这样把企图删除这个计划的进程杀掉算什么意思。
最后由于还是不能确定到底是什么地方启动了病毒程序,火绒又没发现什么异常,只能装上臭名远扬的360杀毒来进行一次全盘扫描,都说要用流氓对付流氓,还真扫出来几个病毒:
这次我一共删掉了intel sur目录和以上4个识别为病毒的文件,重启之后经过手动睡眠和闲置等待之后没有再出现风扇狂转的情况,应该是把病毒杀掉了,不过也是因为没有在删除每个东西之后单独测试,所以不知道到底是哪个携带了真正导致这个情况的病毒。在这个过程中我觉得最可疑的是这个被感染的wxray.exe,因为它在我进行全盘扫描时没有操作电脑一段时间之后单独触发了一次360的病毒拦截,但火绒没报,我认为很可能就是它一直在部署病毒并挖矿。