0、總結

• 【斷網或許可以中斷挖坑行為】（嘗試的過程中發現，斷網過一會后，風扇就降下來了，一旦開啟風扇就猛轉超大聲！估計一些邏輯需要聯網才能執行）
• 【斷網后啟動殺毒軟件】，進行殺毒隔離木馬文件（下載安裝不了或者啟動不殺毒軟件的話，就得另外想辦法了，比如結束挖坑進程之類的。我的是更新系統后出來的，別的方式沒驗證嘗試過）
• 【刪除注冊表遺留（謹慎操作）】，我的是因為提示找不到入侵者設置的自啟動找不到對應的被刪掉的木馬模塊hrsv.cb覺的很煩，所以就處理了。（hrsv.cb看命名，估計是木馬程序的啟動模塊，通過計劃啟動模塊回調，然后就能啟動挖礦的必要進程）
• 不得不說命名真規范，看到：Trojan、CoinMiner、Backdoor、HackTool等就得注意了。注冊表里面是turminoob這個名字比較值得注意的。

1、背景

1、要遠程，然后去裝向日葵，搜了后點了個靠前的網址下載，結果雙擊幾次都沒看到什么（這個下載的很快），并沒有在意【估計就是這個被入侵了】。
2、后面又換個網址下載，成功安裝了。接下來就開著電腦去上班了。就這樣掛了好幾天，直到周六。

2、端倪

1、開機——過一會——風扇自動開啟類似猛獸模式。
2、聯想軟件管家打不開、微軟自帶殺毒也沒有啟動。
3、網頁能打開，但是打開瀏覽器和別的軟件都很卡。
這時候感覺就不對勁了，我想不會吧剛買的就要壞了！？
4、重啟了好幾遍，發現關機會出現以下藍屏上報錯誤信息再重啟。（風扇實在太大聲了）
5、魯大師能開，開了當時也沒看出啥，好像啥都正常。

3、有個微軟的系統更新，就想著更新看看（能否沖掉問題）

頂著猛猛轉的風扇，下載了好一會，終于下載安裝，然后系統開始重啟完成更新。
貌似過程有啥不對勁，然后又撤回了更新（即沒有成功更新）

4、更新沒成功，自動重啟電腦

這個時候自帶的聯想軟件管家出來了！
點了一波殺毒

5、風險文件（好家伙命名還挺規范，一看名字就知道出問題了）

檢出來后隔離，竟然有2個隔離不成功！！！

后面又下載了騰訊軟件管家，一開始還裝不了，后面又下載了離線包，斷網安裝才成功。
用騰訊的又檢出幾個異常成功處理。

6、開機有一些注冊表注冊的自啟動，會主動調用一些木馬模塊

殺毒軟件不是已經隔離掉木馬文件了嗎，入侵者設置的自啟動執行時就會出現一些找不到模塊報錯如下圖（一開始還以為是系統更新沒成功導致的，后面發現不是）

經過不斷嘗試排查，處理方式是到注冊表找到對應的計劃啟動的注冊信息刪除掉（謹慎操作），就沒有這個調用找不到模塊報錯了。

7、重啟后，穩定！

沒有報找不到模塊（說明沒有自啟動），
沒有風扇猛猛轉（應該就是解決掉了！）