Chiphell - 分享与交流用户体验

标题: 这尼玛是谁在用我的PC偷偷远程挖矿呢?(已更新2个新视频) [打印本页]

作者: nApoleon 时间: 2025-9-16 16:43
标题: 这尼玛是谁在用我的PC偷偷远程挖矿呢?(已更新2个新视频)
已更新2个新视频...

(, 下载次数: 39)

https://www.bilibili.com/video/BV1vJpyzoEeJ/

作者: qqwwaa112 时间: 2025-9-16 16:44
视频不见了

作者: nApoleon 时间: 2025-9-16 16:44

qqwwaa112 发表于 2025-9-16 16:44
视频不见了

审核改没通过…稍等…

作者: nApoleon 时间: 2025-9-16 16:52
能看了…

作者: tiantian80 时间: 2025-9-16 16:55
找个专业的系统进程分析软件看看吧，肯定能找出来的

作者: zz001122334455 时间: 2025-9-16 16:58
本帖最后由 zz001122334455 于 2025-9-16 17:01 编辑

任务管理器可以设置显示GPU-进程列表-名称标签右键就有了。
但你这得找别的三方软件来分析了
ps要不试试 nvidia-smi -l 2

作者: smartone 时间: 2025-9-16 17:01
断网试试，如果断网了占用下降，那肯定后台中木马了，杀毒或重装吧。
另外坛里有大佬发过帖子，win11有个新功能防止进程后台偷偷提权，要打开UAC的：https://www.chiphell.com/thread-2667212-1-1.html

作者: nApoleon 时间: 2025-9-16 17:02

zz001122334455 发表于 2025-9-16 16:58
任务管理器可以设置显示GPU-进程列表-名称标签右键就有了。
但你这得找别的三方软件来分析了
ps要不试试 nv ...

号…

作者: wun_008 时间: 2025-9-16 17:02
装杀毒火绒走起

作者: ilovesuyy 时间: 2025-9-16 17:06
我来个不一样的角度，这5080是神雕啊，我看视频里电压能跑到1.095v

作者: qqwwaa112 时间: 2025-9-16 17:07
我问了公司的安全同事，他说就是中病毒了，你在打开任务管理器的时病毒隐藏起，跟linux系统中毒一样用ntop 什么乱七八糟的一看进程利用率看不到或者它故意给掩盖使用率很低展示给你

作者: nApoleon 时间: 2025-9-16 17:09

qqwwaa112 发表于 2025-9-16 17:07
我问了公司的安全同事，他说就是中病毒了，你在打开任务管理器的时病毒隐藏起，跟linux系统中毒一样用ntop ...

没有,打开任务管理器后GPU马上不工作了,温度一点点就下去了,并不是掩盖…

作者: jaycty 时间: 2025-9-16 17:10
哈哈哈，轮大居然中挖矿病毒了

作者: yehaku 时间: 2025-9-16 17:13
现在网上木马多。还是装个火绒吧。不要裸奔。

作者: 山东001 时间: 2025-9-16 17:14
好家伙，这也行吗？看来还真不能裸奔

作者: 猪头小队长 时间: 2025-9-16 17:14
老革命遇到新问题

作者: nlnjnj 时间: 2025-9-16 17:19

轮子被偷家了

作者: zz001122334455 时间: 2025-9-16 17:24
突然想起来，小心你内网的nas

作者: cnyanglc 时间: 2025-9-16 17:26
为啥看到站长中病毒了，嘴角压不住翘起呢，坛友有同感的么？

作者: joyeehappy 时间: 2025-9-16 17:34
这种报警有用么？？？？

作者: YsHaNg 时间: 2025-9-16 17:35

qqwwaa112 发表于 2025-9-16 09:07
我问了公司的安全同事，他说就是中病毒了，你在打开任务管理器的时病毒隐藏起，跟linux系统中毒一样用ntop ...

nvtop或者nvidia-smi

作者: YsHaNg 时间: 2025-9-16 17:38

zz001122334455 发表于 2025-9-16 09:24
突然想起来，小心你内网的nas

selinux走起服务全部容器化存算分离所有二进制都从源码编译各种审计都走一遍

作者: wangzorro 时间: 2025-9-16 17:39

zz001122334455 发表于 2025-9-16 17:24
突然想起来，小心你内网的nas

我就不怕，就群晖nas那孱弱的CPU和GPU，有什么用？况且占用一上来，自动就给我发邮件，发短信的。逃不掉

作者: Mashiro_plan_C 时间: 2025-9-16 17:44

山东001 发表于 2025-9-16 17:14
好家伙，这也行吗？看来还真不能裸奔

这不挺多人喜欢禁用defender和更新的，真以为没有一点安全问题

作者: zhgbbs 时间: 2025-9-16 17:59
任务管理器不行就Process Explorer看下

作者: 静阅 时间: 2025-9-16 18:03
建议换路由器吧，有些路由器为了性能是默认关闭防火墙的......如果网络公鸡你的人知道你的家庭住址是可以推测出你的公网网段，知道你的网段就可以找你的公网ip，把你看光光都是小事......

作者: zhgbbs 时间: 2025-9-16 18:09
本帖最后由 zhgbbs 于 2025-9-16 18:26 编辑

把GPU列调出来，排序下

作者: nApoleon 时间: 2025-9-16 18:41

zhgbbs 发表于 2025-9-16 18:09
把GPU列调出来，排序下

这个好~

作者: keqikeqi 时间: 2025-9-16 18:44
期待排查结果。
果真是裸奔的吗。。。江湖险恶啊

作者: 绿茵豪门 时间: 2025-9-16 18:48
到底是撒原因？

作者: ibugu 时间: 2025-9-16 18:49
想看看是谁在耍流氓

作者: zoomview 时间: 2025-9-16 18:52
后排吃瓜，等结果。

作者: 13655640213 时间: 2025-9-16 19:42
本帖最后由 13655640213 于 2025-9-16 19:44 编辑

nApoleon 发表于 2025-9-16 18:41
这个好~

任务管理器可以把gpu在进程里显示，鼠标点击cpu、内存、磁盘、网络，随便哪个右健，可以加载上去，电源使用情况都行

作者: basiak 时间: 2025-9-16 19:52
挂马了

整个防火墙吧

作者: 可以抱的萝卜 时间: 2025-9-16 19:53
前排吃瓜，坐等一个结果

作者: vasomax 时间: 2025-9-16 20:26

Mashiro_plan_C 发表于 2025-9-16 17:44
这不挺多人喜欢禁用defender和更新的，真以为没有一点安全问题

WIN不装360的裸奔可以

不是关defender和更新的裸奔

作者: nApoleon 时间: 2025-9-16 20:39
为什么看不到实际的GPU使用率...

(, 下载次数: 33)

作者: highchh 时间: 2025-9-16 21:17
蹲个后续。

作者: nApoleon 时间: 2025-9-16 21:19

highchh 发表于 2025-9-16 21:17
蹲个后续。

明天重装了...别蹲了...

作者: hxy7222 时间: 2025-9-16 21:45
弄了3.5寸的小屏幕丢桌上看各种数据，基本异常就喵一眼

作者: jaycty 时间: 2025-9-16 21:54

hxy7222 发表于 2025-9-16 21:45
弄了3.5寸的小屏幕丢桌上看各种数据，基本异常就喵一眼

不需要，电脑开始呼呼转就知道负载上来了

作者: vicl 时间: 2025-9-16 21:56
先说以一下Windows下的显卡驱动都是经过了WDDM抽象，所以nvidia-smi不能像Linux下显示出进程的显存占用

如果木马软件监控了任务管理器，以下办法可以找出来是哪个进程占用了显存
1.找出来占用显存的PID：
PowerShell里运行 Get-Counter "\GPU Process Memory(*)\Dedicated Usage"
应该会返回很多信息，类似这样
\\{computer-name}\gpu process memory(pid_30556_luid_0x00000000_0x00016d5f_phys_0)\dedicated usage: 233603072
找到数字最大的那个，一般挖矿得占个十多G，大概11位数把，然后记下pid后面这个数字（就是上面这个30556）

2.获取PID信息，方法有很多，随便来一个
Get-Process -Id 30556 | Select-Object Id,Path
返回：
Id Path
-- ----
30556 C:\Users\xxxx\AppData\Local\Programs\Microsoft VS Code\Code.exe

作者: hxy7222 时间: 2025-9-16 21:58

jaycty 发表于 2025-9-16 21:54
不需要，电脑开始呼呼转就知道负载上来了

我限速了，只有cpu满载的声音能听到。

作者: hanba 时间: 2025-9-16 22:01
中招了不是应该第一时间拔网线

作者: nApoleon 时间: 2025-9-16 22:05

vicl 发表于 2025-9-16 21:56
先说以一下Windows下的显卡驱动都是经过了WDDM抽象，所以nvidia-smi不能像Linux下显示出进程的显存占用

如 ...

太专业了…

作者: enolc 时间: 2025-9-16 22:21
建议站长直接重装吧，好奇站长是在裸奔吗？怎么会被挂马?

作者: kinglfa 时间: 2025-9-16 22:26
也不装个火绒吗……

作者: lucifersun 时间: 2025-9-16 22:29
大概率根据任务管理器的进程名监控，把任务管理器复制一份，改个名字再运行试试看。GPU列需要手动选择

作者: zxy2001 时间: 2025-9-16 22:47
下载机中过。。。GPU 100% 。。。Win自带的查杀不了，装了火绒，扫了2遍，正常了，免了重装。。。。

作者: strong492 时间: 2025-9-16 22:48
下什么软件或者看什么网站中毒的？我们好避雷。

作者: kknk 时间: 2025-9-16 23:05

strong492 发表于 2025-9-16 22:48
下什么软件或者看什么网站中毒的？我们好避雷。

确定是避雷吗？班主肯定上过chiphell.com

作者: kknk 时间: 2025-9-16 23:08
咱电脑也是裸奔，上次插u盘差点把资料盘整没了，就那个改磁盘名的exe病毒

作者: gaoyi124 时间: 2025-9-16 23:12
任务管理器应该能看到什么进程吧

作者: ttt5t5t 时间: 2025-9-17 07:59
饶你奸似鬼还是要喝洗脚水啊
老江湖也会翻车

作者: wkbenpao 时间: 2025-9-17 08:28
GPU一直开着，不就可以看负载

作者: 方块李 时间: 2025-9-17 08:34
竟然是同款花纹的拖鞋

作者: Marsen 时间: 2025-9-17 08:41
很像中木马了，它会隐藏自己的，杀毒或许管用？但可能处理不彻底，还是重装吧

不过万幸这种木马只是偷算力，一般在C盘重要位置或一些软件安装路径里呆着，不像勒索软件那样喜欢影响所有文件，所以能备份一下资料文件再重装系统

作者: nApoleon 时间: 2025-9-17 08:44
好多人提到火绒这个杀毒软件,就下了装完扫了一下,猜猜怎么着...
还真踏嘛有个木马病毒...先清理看看是否就是这小崽子...

(, 下载次数: 35)

作者: ShinichiYao 时间: 2025-9-17 08:53
(, 下载次数: 35)

还是小破机好，这点算力别人看不上

作者: nApoleon 时间: 2025-9-17 08:55
又扫出一个来...

(, 下载次数: 39)

作者: chrisein 时间: 2025-9-17 08:55
重装无趣啊，找到原因才是群众喜闻乐见的。

作者: 绿茵豪门 时间: 2025-9-17 08:55

nApoleon 发表于 2025-9-17 08:55
又扫出一个来...

重装吧~~ 就算扫出来了心里也是膈应的

作者: tiantian80 时间: 2025-9-17 08:57

nApoleon 发表于 2025-9-17 08:55
又扫出一个来...

这是成毒窝了，阴沟里翻船

作者: kaixin_chh 时间: 2025-9-17 09:04
我上次为了下个什么软件还是别的什么，中过毒，把我浏览器标签收藏全给删了。。。还好我用别的设备恢复过来了。

想起来了，为了激活win，下载kms，下到病毒了

作者: Marsen 时间: 2025-9-17 09:18
本帖最后由 Marsen 于 2025-9-17 09:35 编辑

nApoleon 发表于 2025-9-17 08:55
又扫出一个来...

这两个查杀结果很有意思，，第一个找到的是计划任务，它会让电脑定时运行点什么，比如重启电脑以后也能让挖矿运行起来

第二个是扫描内存发现的木马，后面那个路径表示它在了C盘一个人畜无害的位置伪装起来了，看起来源头来自一个 PowerShell 脚本，大概狡兔三窟还有别的地方藏着

作者: 发挥怒 时间: 2025-9-17 09:19
这个跟前段时间的银狐隐藏方式还挺像的，不过昨天发现todesk被控机gpu占用也会异常的高，很奇怪

作者: wikieden 时间: 2025-9-17 09:24
你这机器怕是已经变成毒窝了，最好格式化重装，要不很容易死死灰复燃，过几天又来，要不你一直开着防火墙吧，存在是有理由的

作者: llsskk 时间: 2025-9-17 09:35
喜闻乐见，可以找火绒的安全员，他会帮你排查

作者: futurejl 时间: 2025-9-17 09:43
Defender 有用的，因为编病毒的人也需要在WIDOWS上验证，微软有很大几率收集到错误信息。

作者: kanshuderen 时间: 2025-9-17 09:44
我这种只有亮机核显的是不是幸运了。。。。

作者: foxlive117 时间: 2025-9-17 09:48

gaoyi124 发表于 2025-9-16 23:12
任务管理器应该能看到什么进程吧

不一定，比如说rootkit病毒就看不出来，而且啥杀毒软件都没用，只能重装系统

作者: foxlive117 时间: 2025-9-17 09:54

nApoleon 发表于 2025-9-17 08:55
又扫出一个来...

这个是误报鉴定完毕，是正经NET的组件

作者: nApoleon 时间: 2025-9-17 10:01
找到了,就是"AddInProcess.exe"这个文件让GPU满载的...

作者: Marsen 时间: 2025-9-17 10:03

nApoleon 发表于 2025-9-17 10:01
找到了,就是"AddInProcess.exe"这个文件让GPU满载的...

似曾相识？
https://www.chiphell.com/thread-2547764-1-1.html

作者: nApoleon 时间: 2025-9-17 10:05
又来一个...

(, 下载次数: 39)

作者: zhgbbs 时间: 2025-9-17 10:07
本帖最后由 zhgbbs 于 2025-9-17 10:09 编辑

看起来是被注入到系统的exe里了
看下AddInProcess.exe，RegAsm.exe的数字签名对不对

作者: 2213782150 时间: 2025-9-17 10:20
轮大这貌似确实是典型中病毒范例，笑死

论坛病友：https://www.chiphell.com/forum.p ... page%3D1&page=2

TOMS HARDWARE 病友：Question - AddInprocess.exe is hogging GPU memory and making games runs choppy | Tom's Hardware Forum https://forums.tomshardware.com/ ... uns-choppy.3713535/

网友给出的药方：
(, 下载次数: 40)

ENJOY，DEAR Napoleon

作者: Pickle 时间: 2025-9-17 10:25
养病毒玩儿呢？

作者: nApoleon 时间: 2025-9-17 10:31
重装了…艹…

(, 下载次数: 41)

作者: nadabb 时间: 2025-9-17 10:36
赶上轮大直播，重装电脑

作者: Evalyn 时间: 2025-9-17 10:38
这次是真下片中毒了吗

开个mt吧轮子

作者: texnis 时间: 2025-9-17 10:44
其实现在Windows本身就是一个病毒了，不知道监控上传了多少东西，有消息说对中国等地区重点关照，搜集数据

作者: YoNgnian 时间: 2025-9-17 11:03
杀毒解决50%问题，重装系统解决80%问题，换电脑才能100%解决问题

作者: fishmans 时间: 2025-9-17 11:38
火绒查下不行重做系统

作者: iswangsir 时间: 2025-9-17 12:03
不管有没有查到，结局是一样的：重装。
被挂马，总归心里不舒服的。
当然，找到木马并清理，是部分人的乐趣。也是吃瓜群众喜闻乐见的。

作者: 水滴 时间: 2025-9-17 14:42
装个360就能秒杀的事

作者: link20 时间: 2025-9-17 14:51
反正要重装了，能不能试下360啊

让兄弟们见识下360是不是真的很牛逼

作者: 红色狂想 时间: 2025-9-19 15:29
轮大的爱机一定是大大滴肉鸡，4090交火香着呢，不然为毛我都裸奔这么多年了就不中毒呢，难道就因为我平常只用Chrome浏览器？

大家都好奇这毒是怎么中的。其实下步兵片上H网站根本不会中毒，人家巴不得服务体贴留住访客让你常驻此地呢。现在主要导致中毒的原因就是乱下载安装软件，比如巨硬全家桶激活工具，国内网站上的几乎全带木马，如果你不下载安装东西是不会中毒的。所以轮大不是浏览网页社会工程学中毒的，而是下载安装了某个软件中毒的，比如一个社会工程学的电车之狼安装包。

不过话又说回来了，无论怎么折腾，中毒后的结局都是重装系统。
最后想说的是，轮大的主副屏显示器蛮漂亮的，一看边框就工业美，但脚底下的机箱我真的欣赏不了

作者: rwindz 时间: 2025-9-19 15:48
轮大晒出了ssd宝库

作者: 有的吃 时间: 2025-9-19 15:56
硬盘速度快，病毒装的也快

作者: YsHaNg 时间: 2025-9-20 00:28
其实全家别的设备都可能被入侵了

作者: kesayi 时间: 2025-9-20 11:40
看来火绒还是得装起来了

作者: continuing 时间: 2025-9-20 12:59
有一说一火绒的查杀能力并不强
这种情况下上360急救箱，EEK，NPE之类的强力扫描更好一点
当然直接重装没什么问题，就当刷新干净系统了

作者: zerozerone 时间: 2025-9-20 14:55
有年头，防火墙没有报病毒木马。
来源可防可控可靠，比动手处置同样重要，到了需要处置的程度、阶段，数据风险还是不小的。

作者: rwindz 时间: 2025-9-20 15:07
这是炼丹吧

作者: bloodwar 时间: 2025-9-20 15:28
360一直骂。其实装一下也不会死。

作者: MarcusVVV 时间: 2025-9-20 16:03
防不胜防啊哈哈哈哈

作者: messia 时间: 2025-9-20 17:00
这...也是醉了...站长中招了

作者: 苏格拉图 时间: 2025-9-20 18:47
之前下载一个solideworks，它的破解软件里面有挖矿木马害我格式化。。。

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)