有个 cmd 进程会一直维持 30%左右的占用，打开任务管理器就降低占用，关闭就提高。

pe 能用了就把文件路径找出来再把文件复制出来传网页杀毒看看呗

@Cooky 是 Path 么，这个显示[Error opening process]。parent 是 explorer.exe(7840)

用 Procmon 抓取整个系统启动过程

任务管理器里先添加“命令行”列，列里面没有任何命令信息吗？

听起来很符合病毒或后门的特征

@crab 抓了进程了，能看到几个访问的 ip ，也不知道咋处理，就先直接把这些全 ban 了，看火绒那边反馈了。

@zictos 没有，就是正常的 cmd 路径。

@hhacker 抓了内存字符串喂给 gpt 说是“Themida 加壳、内嵌 XMRig 挖矿程序的可执行文件。它被注入或伪装成 cmd 进程运行，占用 CPU 进行门罗币（ Monero ）挖矿，并带有大量网络‑RPC 、反调试和隐藏特征，是典型的挖矿木马/后门。”

哈哈 典型挖矿 程序 不打开任务管理器会占很高 鸡贼 写个程序 自己抓 cpu 占有 到时会找到文件杀掉 然后 清除 temp 文件夹 检查开机启动 检查服务

狂吃 CPU 还不让你知道，很典型的挖矿。

可能是挖矿的，我之前也中挖矿病毒，我不动的时候，风扇狂转；我开始打游戏，风扇就不怎么转了

目测是挖矿，装个 Sysmon ，记录一下进程的父子进程调用关系，以及进程的参数，看看是什么进程拉起的它，看看进程参数是什么

大概率是病毒，建议重装系统。