进程管理里面右键查看属性,可以看到这个exe文件的实际目录,我的是在 C:/Windows/Fronts 下面,cmd进入目录之后把那几个隐藏的exe文件删掉,删之前要结束进程,修改权限。
dir *.exe /a 可以看到隐藏的文件
attrib -a -s -h xxxxx.exe 可以把文件的隐藏属性取消
cacls 修改权限
takeown 获取文件所有权
打开注册表编辑器,全局搜索进程后面的参数 cryptonight或者xmr.crypto-pool 这些,能找到一个服务的描述,去服务列表里把那个服务禁用,我这边是Servc。注册表的键我也删了。
就是不知道这玩意是怎么染上的