我有一个恶意的 Chrome CPU 进程,全天候运行,占用率为 40%。
Sysinternals 进程浏览器显示该进程有那些超级可疑的命令参数。我无法追溯其来源。
"C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe" --type=renderer --field-trial-handle=1528,17667036987940741940,5497819695524880889,131072 --lang=en-US --disable-oor-cors --enable-auto-reload --device-scale-factor=1 --num-raster-threads=4 --enable-main-frame-before-activation --service-request-channel-token=9967693049173305802 --renderer-client-id=5 --no-v8-untrusted-code-mitigations --mojo-platform-channel-handle=2688 /prefetch:1
我做了一些常见的事情,但没有成功:
- 禁用所有扩展
- 重新安装 Chrome 并彻底清除
- 已禁用“Chrome 在后台运行”
- Malware Bytes 扫描两次
- Chrome 的任务管理器中没有进程
- 搭载 Intel/Nvidia 的最新 Windows 10。
- 注册表中没有该命令的踪迹
有没有什么办法可以缓解这个问题?
答案1
如果你打开 Chrome 自己的任务管理器,它会告诉你哪些标签正在使用 CPU
任何一个:
按Shift+Esc
或者
打开右上角的三个垂直点“⋮”菜单 > 更多工具 > 任务管理器
如果 Chrome 的任务管理器没有显示 CPU 列,则右键单击其中一个列标题并从菜单中激活它。
如果没有列出任何高 CPU 任务,则可能与参数有关--field-trial-handle。请参阅此页面了解如何禁用现场试验:
https://www.ghacks.net/2013/04/05/field-trials-in-chrome-how-to-randomize-or-force-them/
具体来说,您可以使用以下参数之一启动 chrome:
--disable-field-trial-config —— Disables all field trial tests in fieldtrial_testing_config.json
--fake-variations-channel —— Fakes the release channel of the browser for testing.
--force-fieldtrials —— The option can be used to enforce certain field trials in Chrome. Requires knowledge of values.
--force-fieldtrial-params —— The option can be used to force certain parameters but it is necessary to know valid values to use it.
--force-variation-ids —— Enforces additional variation IDs.
--reset-variation-state —— Forces a reset of all Chrome variation states.
--variations-override-country —— Overrides the country used for evaluating variations.
--variations-server-url —— Specify a custom variation server.
答案2
结语:它确实是隐藏在无头铬内的加密矿工。
对于有同样问题的人,该文件位于以下目录中:C:\Windows\System32\config\systemprofile\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00002d
目前只有卡巴斯基可以检测到该病毒。以下是 VirusTotal关联。
删除该文件解决了问题。