文章总结： 本文记录了一起服务器挖矿病毒的处置过程。作者通过任务管理器发现异常PowerShell进程，利用WMIC与火绒剑工具分析进程树，定位并终止了伪装成scvhost.exe的父进程以彻底清除病毒。同时，文章还介绍了通过审计Windows安全日志（4624/4625事件）来溯源入侵路径的方法，为应急响应提供了实战参考。 综合评分： 78 文章分类： 应急响应,恶意软件,实战经验,终端安全,安全运营

电脑中挖矿病毒程序 手搓溯源分析直接定位到人！

原创

老兵 老兵

网安守护

2026年1月24日 19:08 北京

阅读须知

文章仅供参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！！！

前言

朋友抱怨自己的服务器非常卡，因为存储了很多项目资料和集成了众多环境。作为好友，我自然义无反顾地帮他检查。原本以为仅需进行简单的杀毒和文件整理便足够，但最终这个过程花费了不少时间。正好借此机会记录下整个过程，并写成这篇文章。

清除病毒

询问朋友是否下载了什么或在电脑上搭建了些什么，他回答说不知道，让我自己检查。当时我真想通过远程桌面（3389端口）过去给他一个响亮的耳光。但最终还是决定亲自处理。打开任务管理器，立刻注意到几个可疑的powershell进程。

PowerShell进程的占用率高居榜首，但具体执行的命令尚不明确。此时，利用WMIC工具可以查看进程在执行时的命令行参数，帮助进一步诊断问题。通过以下参数获取相关信息：

• Caption: 显示进程名称
• CommandLine: 展示具体的命令行参数
• ParentProcessId: 显示父进程的PID
• Process: 表示进程的PID

PowerShell中执行了一段被混淆的代码，这不是正常程序的典型行为。市面上有多种工具可以用来分析这类情况。可以使用火绒剑、ProcExp（Process Explorer）、或者ProcessHacker这些工具来查看命令行参数，进而帮助识别和解析这些可疑的操作。

使用火绒剑终止了PowerShell进程后，如果该进程再次出现，这表明存在一个守护进程，刚才终止的很可能只是一个子进程。此时，应该终止整个进程树以彻底根除问题。需要定位到PowerShell的父进程，并结束整个进程树，以防止潜在的挖矿程序重新启动。

使用wmic命令，找到相关进程

已确定进程ID为3616的进程。

已定位到进程ID为3604的进程。

已经找到了进程ID为3500的相关联进程。

以火绒剑工具为例，检查进程时发现，在列表的最下方，有5个以PID 3652运行的PowerShell进程，这些都是子进程。同时，PID为1972的scvhost.exe则是所有挖矿程序的父进程。

为彻底解决问题，可以直接结束整个进程树，这将同时终止父进程和所有相关的子进程。这一操作可以阻止挖矿程序的再次启动，并清除所有相关的恶意活动。

清理工作完成。

审计日志

关键在于找出是如何被侵入的。我特别检查了RDP日志，并查阅了安全日志，包括4624（登录成功）和4625（登录失败）事件。结果确实显示出有成功的登录记录。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安守护 老兵 老兵《电脑中挖矿病毒程序 手搓溯源分析直接定位到人！》