[電腦維修][掃毒][木馬][挖礦] GPU記憶體使用率達到100%。第二次。

2025-05-15 星期四

電腦很卡頓、滑鼠鍵盤無反應。
獨顯GPU跑到100%,直覺告訴我,電腦又中毒了。
先把網路關掉。關掉網路後,獨顯GPU降到0~1%
重複測試幾次,只要有網路連線,獨顯GPU就會跑到100%,應該是中了GPU挖礦的毒。


處理方式

掃毒

2025-05-15 星期四

開始掃毒,使用Windows的快速掃描,沒抓到。

開始使用Windows的自訂掃描,但這個要等很久。


2025-05-16 星期五

昨天使用自訂掃描,但過了一個晚上,掃了1100多萬個檔案,還沒掃完,那只好先手動關掉。

不過系統也顯示,抓到2隻毒。那就殺掉這兩隻毒。

使用Windows自訂掃描,掃了1100多個檔案。

殺掉兩支病毒。

殺掉nssm軟體 (但這個有可能是錯殺)

看到工作管理員中有奇怪的程式 "The non-sucking service manager",同樣的名字出現十幾欄,而且又無法結束工作的感覺,殺得很慢。

打開網路,查了一下 "The non-sucking service manager",簡稱nssm,感覺這是個正常軟體。但稍後發現有人運用這個軟體進行破壞行為,挖礦行為。


REF:
1. 介紹好用工具:優異的 nssm 服務管理員 (Non-Sucking Service Manager)

2. 挖矿恶意程序纪实分析之 Windows 篇



怪怪的,打開網路後,過幾分鐘,獨顯GPU跑到100%,有直覺又中毒了。

趕快把網路關掉。

這個nssm軟體,並沒有列在Windows的 "已安裝的應用程式"列表上,表示這又是一個隱身的軟體。
接著,手動清掉nssm。但又沒辦法直接清掉,系統會說軟體使用中。那就先從工作管理員,全部殺掉後,在手動刪除nssm軟體。

刪掉nssm軟體後,發現工作管理員中,看到暫停的項目。殺掉。


打開網路,發現GPU仍然是跑到100%,表示還是在挖礦。

繼續掃毒

使用離線掃描。但發現有無法完成的項目。

離線掃描中。

無法完成的項目:
file: C:\Users\hsien\AppData\Roaming\AccessRuleType\Position.exe
file: C:\WINDOWS\System32\Tasks\Microsoft\Windows\AccessRuleType\Position->(UTF-16LE)
file: C:\WINDOWS\System32\Tasks\RunAsUser_1584851606->(UTF-16LE)
file: C:\WINDOWS\System32\Tasks\RunAsUser_1769478588->(UTF-16LE)
file: C:\WINDOWS\TEMP\microsoft.exe
taskscheduler: C:\WINDOWS\System32\Tasks\Microsoft\Windows\AccessRuleType\Position
taskscheduler: C:\WINDOWS\System32\Tasks\RunAsUser_1584851606
taskscheduler: C:\WINDOWS\System32\Tasks\RunAsUser_1769478588


怎麼掃毒都沒用,一打開網路,病毒就開始挖礦。

系統還原

使用Windows 系統還原,還原到兩天前。也就是GPU跑到100%的狀況前。

系統還原。

發現狀況 - Windows防毒系統中的排除項目

2025-05-18 星期日

在掃毒過程中,發現Windows防毒系統中的排除項目中,有很多奇怪的資料夾跟附檔名。於是就全部清除。

更新病毒碼後,再重新使用各式掃描 (快速掃描、自訂掃描、離線掃描),之後抓出了6隻病毒。

再繼續使用各式掃描,這時候就都沒看到掃出什麼東西了。

看來現在的病毒很厲害,都知道要先去把自己洗白 (進入Windows掃毒的白名單中)。

觀察使用一段時間,OK

打開網路,使用一段時間後,發現GPU沒有異常使用狀況。看起來OK了。

不過有些軟體就無法使用了,得重灌。

例如: 
visual studio code


檢討

1. 
掃毒前要先處理白名單,有些病毒會把自己列入Windows掃毒白名單中,那怎麼掃,也會掃不到。

2.
如果有外部儲存空間,把掃過、確認OK的檔案,先移出有中毒的電腦。再對有可能的中毒區域進行掃毒,這樣掃毒的範圍會比較小,速度會比較快。


感想

到現在,連怎麼中毒的,都不曉得。

還好是之前有類似的經驗,才趕快進行處理。但這樣前前後後,也處理了4天。

至少現在電腦又可以正常運作了。


相關Po文

[電腦維修][掃毒][木馬] GPU記憶體使用率達到100%


社群媒體討論平台

如果對該主題有興趣,想要討論,也可以採用以下的社群媒體平台。歡迎討論。



Location: West District, Taichung City, Taiwan 403

留言

張貼留言

這個網誌中的熱門文章

什麼是電池的CCA(Cold Cranking Amperes)? 如何量測CCA?

圖片
前陣子車子進廠保養,隔天保養回來後,上面夾了張小紙條。 電瓶檢測報告,測試結果良好,電壓12.6V,內阻6.21mΩ,壽命100%,CCA為439。 獻慶好奇的是,啥是CCA? 如何量測CCA? 電瓶檢測報告 以下將會一一討論 什麼是CCA? 如何量測CCA? CCA對照表 and 換算公式 市面上的CCA量測器 台灣湯淺電池公司對市面上CCA量測器的看法 歐洲湯淺電池公司對市面上CCA量測器的看法 結論 什麼是CCA? 根據ARTC車測中心的資料 CCA (Cold Cranking Amperes) 冷啟動電流安培數 (單位為安培 A) 用來定義電瓶在0°F(-17.8°C,通常會講-18°C)寒冷環境下啟動汽車引擎能力的指標,越高的CCA表示可提供引擎越大的冷啟動電力,尤其是車齡過高不易啟動的車輛,越高的CCA可以使引擎啟動更加順利。但一般購買電瓶時,我們無法從電瓶外觀、符號得知CCA,可以參考電瓶的電瓶安培數值(這裡指的是表示容量的安培小時數Ah),該數值與CCA成正比,或從電瓶製造廠提供的"電瓶規格"得知,這也是最準確的方式。若是完全無法得知,原先電瓶的CCA就只能推估,請參考表1。 汽車排氣量 (c.c.) CCA估計值 (A) 1200~1600 350 1600~2000 500 2000~3000 650 3000以上 750 表1 依排氣量推估電瓶CCA 順帶一提CA CA (Cranking Amperes) 啟動電流  (單位為安培 A) 主要意義與CCA類似,與CCA差異的僅是測定時之溫度,CA則是在0°C環境下所得出的結果(CCA則是在0°F)。同一電瓶CCA的數值會比CA來得低,因為溫度愈低電池的表現會愈差。 (資料來源: ARTC車測中心:  知識庫 - 認識電瓶規格  ) 如何量測CCA? CCA cannot be “measured,” but it can be “estimated.” The process can take a week per battery. A full CCA test is tedio...
Read more »

[數據處理] Excel 日期時間 換算成 秒

這次獻慶碰到Excel的數據處理問題。 儀器匯出的Excel檔的時間軸是用 "日期跟時間"來表示,而不是用秒來表示。這樣會造成繪圖軟體無法判斷時間,而無法將數據進行繪圖。 或者說很多繪圖軟體會把 "日期跟時間"這種資料格式視作 "字串",而不是同單位的時間 "數字"。造成繪圖失效。 為了要處理這個問題。一個單純的想法,就是將包含日期跟時間的文字換成單一時間單位。這個時間單位,依據數據分析的需求可以是年、月、日、時、分、秒等。 案例1: 2020/1/15 12:59:35 $\rightarrow$ OOO 秒 以獻慶這次的狀況將包含日期跟時間的文字換成秒,是合理處置。 如何將包含日期跟時間的文字換成秒? 2020/1/15 12:59:35   -->   OOO秒 實際上,為了畫圖,我們要知道的是數據點間的相對時間,或者說時間差。 這個問題頗好解決、獻慶運氣不錯,很快就找到了網友提供的方式。可用下列函數達成。 Excel-時間相減後轉成秒數 =TEXT(A2-A1,"[ss]") 可以強制把時間轉換為秒數。若ss改為mm 則轉換為分鐘,不足數無條件捨去。 參考資料:  Excel-時間相減後轉成秒數 這個函數可用,但得小改一下。要把A1改成第一筆資料的時間。 例如: =TEXT(A2-" 2020/1/15 12:59:34" ,"[ss]") 這招有用,表示Excel有把某些特定日期跟時間的字串換成秒的功能。這樣就不用像以前使用Fortran等程式時的做法,要用 "天*86400+小時*3600+分*60+秒"這種數學換算。 案例2: 2020/2/14 下午 06:00:49 $\rightarrow$ OOO 秒 乍看之下,這組時間字串只是多了兩個字(上午/下午)而已。 多了兩個中文字而已,同樣的函數應該有用。 如果案例1的招式可以萬用的話,就不會有案例2了。呵呵! 總之就是"掛了"! 那就要來找新的解決方案。 先...
Read more »

[日文歌詞] お久しぶりね

圖片
歌名: お久しぶりね 歌手: 小柳ルミ子 作詞: 杉本真人 作曲: 杉本真人 編曲: 梅垣達志 老媽說有人找她唱這首,要練歌,於是有了這個歌詞。 文字都有特別加大,頁數也暴增到兩頁A4。 ^_^ 有需 要其他歌詞,請看該Po文中的附表 [日文學習] 如何練五十音以及日文聽力 至於歌詞該如何譜寫,請看這篇 [日文學習] 譜寫日文歌詞 什麼叫歡樂中學習,請看 [日文學習] 歡樂中學習 [日文學習] 抄字典也是一種學習方式 相關Q&A精華篇在這裡 [日文學習] 如何練五十音以及日文聽力 Q&A精華篇 (FB link:  https://www.facebook.com/hsienching.chung/posts/3274169742595972  ) 相關連結 YouTube:  お久しぶりね [小柳ルミ子] 現場演唱版。 YouTube:  お久しぶりね/小柳ルミ子 現場演唱版。 YouTube:  お久しぶりね 小柳ルミ子(1983 OA) 現場演唱版。 YouTube:  お久しぶりね  小柳ルミ子 貴重映像です。当時のファンとスタッフさん達も映ってます。
Read more »