挖矿病毒audiodg.exe\taskhost.exe溯源与手动查杀方法

已于 2022-11-22 13:54:34 修改
阅读量8.4k 收藏 18
点赞数 6
分类专栏: byrut资源病毒 文章标签: 系统安全
于 2022-04-15 16:51:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61738543/article/details/124198552
版权

前言

首先大家会打开到这篇文章,就已经说明你大概率已经被病毒所困扰了。自从byrut网站为大家提供了大部分不安全的盗版游戏资源,很多人都从这些资源中被病毒感染,并且难以靠普通的杀毒软件进行杀毒了。其中一个最让人最难受的资源,就是这个类似病毒工厂会自动生成木马一样的病毒。如果你想靠自己处理掉这些木马文件,或许我的文章所分享的经验可以帮助到你!

我并非专业查杀病毒的人员,只是一个普通的本科开发实习生,以下内容是为了简单的分享一下这类病毒的手动清理方式,还有分享发现这一病毒后的思考,以及溯源的方式与思路。如果你还没能删除这恶心难缠的挖矿木马病毒,希望你读完我的文章之后,可以靠自己揪出这一病毒,收获自己满满的成就感!

以下让我详细说来从发现病毒、到删除病毒的全过程与思考!

正文

实际上所有的木马病毒其实都已经走在了杀毒软件的前沿,或者是已经理解了杀毒软件的特效,并且利用其特性进行伪装、隐藏的病毒。想要避免被其中的挖矿病毒迫害,其实我们可以很简单的靠自己进行排查。

  • 首先打开你的任务管理器

莫名的内存占用,已经可以说明你的电脑资源正在被木马程序利用,挖矿木马会悄无声息的耗费你的资源,并且难以利用杀毒软件进行查杀与溯源。如果你不能排除哪个进程是异常的,那你可以自己通过搜索引擎去搜素一下那些异常启动的进程,不过这大概率不能马上排查出你的病毒所在。

无论是挖矿病毒,还是窃取个人资料的木马病毒,只要跑起来,一定会占用你内存与CPU性能资源,这时你就要有自己发现异常进程、文件的能力。你可以简单的依靠杀毒软件进行侦查与入手。

我所了解到的一个挖矿病毒,会不断的在你的C盘temp临时缓存文件夹内不断的生成木马文件‘audiodg.exe’。你想要通过temp文件夹溯源是不可行的,因为temp文件夹是系统存放各种临时文件的位置,无论是内行还是外行人员,都没办法轻易的对temp文件夹内产生的文件进行溯源!

但是这一简单的生成木马操作,很容易被你的普通杀毒软件所侦查到。生成的exe文件必定会被相应的进程所启用,这一动作是会被杀毒软件所记录的,这就是你从一个文件揪出整个病毒程序路径的关键突破口!

  • 对执行木马文件的进程进行简单了解

主动运行audiodg.exe文件的进程是名为taskhost.exe一个进程。taskhost.exe进程是Windows7/8/8.1/10自带的一个进程,是负责Windows运行计划的,简单的来说也可以称作计划任务程序。病毒利用系统的特性去自启自身生成的木马程序,从而避开杀毒软件的检测与阻拦。Audiodg.exe文件是Windows音频设备图形隔离程序,一般路径是固定的,一旦出现在其他位置就必定是木马程序所伪装的,会被轻易的查杀。但我们可以顺着这一文件往下继续查找,可以揪出taskhost.exe这一进程,禁用taskhost 的网络后,禁用声卡驱动,可以暂时避免系统主动运行木马文件,暂缓你的电脑风险。

继续深入taskhost的文件路径,你会发现名为RealtekHD文件夹下的taskhost.exe文件是不可见的,即便是开启隐藏文件查看的情况下也是不可见的。病毒程序已经悄悄的修改了你的RealtekHD程序,随着你的声卡驱动程序的运行,病毒程序也会乘机不断的在你开机的时候生成木马文件到Windowstask或者temp文件夹中,每次开机就会生成一个木马在你的C盘中,可谓是恶心至极。

 开始消灭病毒!

这时候就是你抉择的时候了,是选择同归于尽,重装操作系统彻底消灭这一病毒,还是壮士断腕,砍掉自己的声音系统文件?好汉当然是要留得青山在,不怕没柴烧吧!我们通过U盘启动盘进入到PE系统,进入到系统路径:“C:\ProgramData\RealtelHD”直接删除掉此文件夹,系统会提示你此文件为系统文件,不建议你删除!没有办法的是,我们为了根绝这一挖矿木马,只能把它的宿主也给干掉了。

删除此文件夹后重启,会导致你的系统声音异常,也不是声卡驱动错误,通过市面上的驱动管家进行修复也是无济于事。各类修复声音的方法也不可行!因为问题并非出现在声卡驱动与硬件上。

病毒的问题解决了,但是系统的声音要怎么恢复?用电脑自带的疑难解答?这个问题经过我的长时间研究,无论是重装声卡驱动,复制其他正常的系统文件过来,统统都不能恢复你的系统声音。就算是进行系统升级,也不一定能够解决这一现象。就连接上耳机的情况也是无声的。

问题出在系统文件上,就要通过检查系统完整性进行处理。利用系统文件检查器(sfc.exe)。系统文件检查器(sfc.exe) 是 windows 内置的工具,用于验证系统文件完整性并修复损坏的系统文件。使用CMD命令窗口运行一下代码 :命令1“DISM.exe /Online /Cleanup-image /Restorehealth”   

命令2“sfc /scannow

完成此操作后,你会发现系统声音神奇的恢复了!哈哈恭喜你!

Bausei·Hu
关注
  • 6
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
fraps汉化版
01-16
Fraps 3.0.2 汉化版 软件介绍: Fraps是一款游戏辅助+媒体录制软件,用它可以轻松了解机器在运行游戏时的帧数,从而了解机器的性能!另外它还具备在游戏中的截屏和录像功能,可以方便的进行屏幕截图和视频捕捉,网上许多魔兽战况等游戏录像都是先用其录制然后压缩处理的。 注:此汉化版无需安装,只需运行下“绿化.bat”即可! 汉化:Luowei [email protected] 更新日志:3.0.2 1、修正在Fraps运行时机器无法休眠的问题; 2、修正无法更新基准测试超时值的问题; 3、修正Fraps随系统自启动时窗口重置回此前状态的问题; 4、修正部分系统上audiodg.exe进程占用大量CPU资源的问题。 更新日志:3.0.1 1、Windows 7系统下新增最小化到系统托盘图标的选项; 2、修正Fraps载入时视频捕捉帧率被重置为默认30FPS的问题。 更新日志:v3.0.0 1、支持DX11游戏和程序。 2、兼容Windows 7 RC候选版和RTM正式版。 3、支持录制开启3D Vision立体眼镜模式的DX9(Direct3D 9)游戏,捕获的AVI文件可直接拖放到3D立体播放器内。 4、可同时捕获游戏内的声音和麦克风等外部设备的输入声音,方便Ventrilo、TeamSpeak用户,不过仅限Windows Vista/7操作系统。 5、新增强制无损RGB压缩,确保最高质量的视频捕获和输出。
熊国正版游戏之TXT文字乱码【已解决】【rutracker】【byrut】【单机】【破解】【俄罗斯】
qq_43661509的博客
03-13 1万+
最近,因为熊国开放盗版软件网站之后,也是去看了一下,并且还下载了一些老游戏。 网址分别是 rutracker.org 和 byrut.org 只不过,因为游戏是盗版的,需要使用下载下来的一些自带的激活工具激活。 不过我刚打开它的激活说明文档,就发现事情没有那么简单。 打开之后发现内容全部都是乱码。我也是在网上一通百度。 一条回答是,在txt文件的菜单栏【文件】一栏中选择【另存为】就可以在下方确定按钮旁边选择编码格式了。 我尝试了所有的格式,但是都无济于事,仍然没有解决乱码问题(甚至还用HBuildX 尝试
Alexa上排名靠前的网站基本上都受到了CoinMiner挖矿病毒、恶意外部链接、Web skimmer攻击
systemino的博客
10-10 4208
Unit 42最近在Alexa上启动了一项针对全球前一万网站的威胁搜索活动,Alexa排名基于访问者的互动和访问次数来衡量网站的受欢迎程度。如表1所示,研究人员发现了四个受影响的网站。在随后的分析中,研究人员会更详细地描述这些恶意活动,其中就包括了CoinMiner挖矿病毒,它们劫持了CPU资源来挖矿加密货币。早在2017年CoinMiner就被发现,它是一款无文件的恶意软件,它会利用WMI(Windows Management Instrumentation)在感染的系统上运行命令,专家称,这款软件很..
挖矿病毒/远控木马排查思路(Windows系统)
最新发布
qq_51845659的博客
03-18 1078
挖矿病毒/远控木马排查思路(NOP Team团队发布的《Windows应急响应手册》学习笔记)
在byrut下载过游戏的可能会中挖矿病毒导致常见杀软无法安装
四海一叶秋的博客
05-22 2万+
卡巴斯基安装没反应。AVAST安装提示本次操作由于这台计算机的限制而被取消。请与你的系统管理员联系。
audiodg.exe.mui
01-04
audiodg.exe
安装QQ音乐后导致Windows系统程序audiodg.exe频繁报错
dvlinker的技术专栏
10-12 2065
最近安装了一些音乐软件,研究一下这些软件的实现方式,比如网易云音乐、QQ音乐、酷我音乐后,结果安装这些程序后,会频繁的弹出系统程序audiodg.exe崩溃报错的提示框,因为系统中安装了Visual Studio,所以提示是否用Visual Studio进行调试,如下所示: 这个audiodg.exe是Windows系统的exe文件,从来没见过,不清楚是做什么用的。于是到系统路径下搜索这个audiodg.exe文件: 于是查看这个文件的属性:g管 但还是搞不...
网络安全之认识挖矿木马
学而思(xiejava的blog)
02-21 8213
目前,我国政府宣布要实现碳达峰碳中和的目标,严重耗能的虚拟加密币相关生产、交易被认定为非法,我国境内所有(生产加密货币的)矿场必须关闭。因挖矿需要大量财力投入,从一开始,就有人想到利用木马控制他人的计算机组建僵尸网络集群挖矿的办法,这就是所谓“挖矿木马”。
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
小韩的博客
04-03 2万+
服务器(Linux)挖矿木马病毒(kswapd0进程使cpu爆满)
彻底解决电脑空闲时,Win音频设备图形隔离(系统进程)占用CPU的问题
热门推荐
NSJim的博客
02-27 7万+
解决电脑空闲时,系统进程 - Win音频设备图形隔离占用CPU的问题,禁用响应你好小娜和音频增强功能。
AUDIODG.EXE-D0D776AC.pf
01-12
AUDIODG.EXE-D0D776AC
很好用的蠕虫病毒查杀工具
10-30
很好用的蠕虫病毒查杀工具
C#进程管理源码,获取进程信息
01-20
C#进程管理,获取进程各种信息,。对初学者是一个很好的参考
解决卡巴斯基安装无反应,avast计算机限制而被取消
05-15
中了某些病毒木马后,卡巴斯基、avast等国外杀毒软件可能无法安装,下载本工具可解决这个问题,还解决不了的可以联系我远程。
记一次mykings&暗云挖矿木马的排查与解决
wanger5354的博客
12-21 2146
微信公众号:运维开发故事,作者:wanger 起因 之前有一台做测试的Windows server2012阿里云服务器的防火墙关掉之后开机总是启动,想了很多办法也没找到原因就提了工单问了售后,结果售后也没发现问题,并提示我服务器中病毒了,赶紧查看云监控,发现有一个进程的CPU一直占用很高,进程名称叫lsma12.exe 排查 删除那个挖矿进程及挖矿的程序,挖矿程序位置在C:/windows/inf/aspnet/lsma12.exe,删除之后重启之后过了12点后又出现了,查看发现存在5个定时任务,删.
task host window任务宿主阻止关机解决方法
nahnah_的博客
10-16 3637
挖矿病毒处理记录
Z.Virgil的博客
08-15 1万+
wnTKYg进程发现 执行top 会发现此进程。 wnTKYg应该是利用 redis 漏洞入侵,加了定时任务,每一段时间向固定地址发送请求,执行挖矿程序后导致 cpu 和带宽升高, kill 进程会自动重启。 检查authorized_keys、known_hosts文件 [root@zfr ~]# cd /root/.ssh [root@zfr ~]# cat auth...
云服务器ECS挖矿木马病毒处理和解决方案
dhmkjv0619的博客
02-25 334
云服务器ECS挖矿木马病毒处理和解决方案 最近由于网络环境安全意识低的原因,导致一些云服务器ECS中了挖矿病毒的坑。 总结了一些解决挖矿病毒的一些思路。由于病毒更新速度快仅供参考。 1、查看cpu爆满的进程 cpu占用率100%, 用top 查看cpu100 2、杀死进程 kill -9 pid 杀死进程后,过一分钟该进程又起来了 或者 删掉此进程 cpu还...
清理服务器挖矿木马病毒
Hatim98的博客
02-16 3109
假期远程办公,于是把服务器ip映射到了公网。不成想被人植入了挖矿木马病毒,在此记录一下这次发现和解决的经历。
错误应用程序名称: audiodg.exe,版本: 10.0.19041.3155
08-19
错误应用程序名称: audiodg.exe, 版本: 10.0.19041.3155 是一个关于Windows操作系统中音频处理服务的错误。 audiodg.exe 是Windows操作系统中的一个进程,负责处理音频相关的任务,如音频效果、音量控制等。当出现错误应用程序名称: audiodg.exe, 版本: 10.0.19041.3155 不是正常工作时,可能会导致音频播放质量下降、声音出现杂音或者无法播放音频。这可能会对用户的音频体验带来不便。 解决这个问题的方法可以是: 1. 重新启动计算机:有时,重新启动计算机可以解决临时的软件问题,包括音频服务的错误。 2. 更新或重新安装音频驱动程序:音频驱动程序是与音频设备通信的软件。更新或重新安装驱动程序可能有助于解决与 audiodg.exe 相关的问题。 3. 执行系统文件检查:运行系统文件检查工具(如SFC /scannow命令)可以扫描并修复操作系统中的损坏文件,可能有助于解决 audiodg.exe 的错误。 4. 禁用增强音频效果:有时,启用了系统默认的音频增强效果可能导致 audiodg.exe 的错误。尝试禁用这些增强效果,可能有助于解决问题。 如果以上方法均无效,可能需要联系计算机厂商或Windows技术支持团队进行进一步的故障排除和修复。 总之,audiodg.exe 的错误可能会影响音频播放质量,但通常可以通过重新启动计算机、更新驱动程序、执行系统文件检查等方法得到解决。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值