以防读者是中招，寻求解决方法的，所以就直接进入主题。

中毒特征

• 电脑反应迟

• 任务管理器中存在一个名为MicrosftEdgeCP.exe的进程

• （可能）在任务计划程序库中有一项名为csapu的计划，详细请看图（来自金山毒霸）：

  

解决方法

• 如果计划任务中有上图的触发任务，先删除。

• 进入C:\Users\Public删除红圈内文件：

  

  其中MicrosftEdgeCP.exe可能应被使用中，无法删除。请进入安全模式或PE删除即可。

• 进入C:\ProgramData删除以下文件：（该目录是隐藏目录，怎么显示请百度win10查看隐藏目录）

  • Officekms.exe
  • WinRing0x64.sys
  • Gtt.exe
  • Go.exe
  • Nb.exe
  • Office.exe

• 如果电脑有迅雷，可选择卸载并使用everythin查找和删除全部的XLBugReport.exe文件。（确认查杀病毒后再装迅雷）

• 以防万一，使用你认为好的杀软进行一次系统盘或全盘符查杀。我用的是火绒（版本5.0.41.2，病毒库2020-03-31）。

检验是否查杀成功

将电脑置于低功耗状态，也就是开机丢在哪里。查看后台是否有MicrosftEdgeCP.exe 和出现 CPU 占用异常等情况。

危害性

由于这个病毒，有利用 永恒之蓝 漏洞，进行局域网内传播的行为，因此务必尽快查杀，避免感染局域网其他机器。

病毒的一部分文件（可能）能够通过安全软件的文件扫描，亲测有金山（2020-04-03官网最新版）、火绒（5.0.41.2）。这部份文件在C:\Users\Public。

金山文章中分析得出病毒使用白加黑手段，用迅雷模块加载病毒。

尾巴

我中的视乎是已经是变种的了（2020年4月3日），与金山文章分析的有所不同。我没有查到有相同启动功能的计划任务，挖矿程序也变成了是MicrosftEdgeCP.exe。

对金山文章分析的文件描述再补充：

Officekms.exe 挖矿程序

MicrosftEdgeCP.exe 挖矿程序

WinRing0x64.sys CPU信息检出

Gtt.exe 挖矿，驱动保护

Go.exe 挖矿，驱动保护

Nb.exe 挖矿程序

Office.exe 横向传播，漏洞利用

aaaa.exe 自动解压的压缩包包含有永恒之蓝传播脚本，挖矿的使用文件

1 加压出来的永恒之蓝传播脚本

eh 挖矿的使用文件和everything

病毒存储网址：http://cs.sslsngyl90.com、https://img.vim-cn.com

相关链接：

“匿影”挖矿病毒再度来袭, 小心电脑沦为他人工具！

关于最近的挖矿病毒“匿影”中毒后的一次手动查杀记录