2024年2月26日，一名学弟找到了我，表示自己电脑里有进程大量占用CPU，程序名是由大小写字母、数字组成的随机内容。我询问这是否是自己编写的程序，学弟回答不是，所以判断这个程序有极大可能是病毒。

为了留存记录，我让学弟在任务管理器中右键打开程序所在的目录，拍照并关机。学弟回复打不开路径。

同时，不排除是勒索病毒正在加密文件，所以让学弟立马长按电源键强制断电，并且把笔记本带来实验室检查一下。

判断病毒类型

学弟带来笔记本以后，顺手就按下了开机键，我连忙打断施法，并且告诉他数据可能会被勒索病毒加密，要做好数据丢失的心理准备。

我在 PE 环境下想要检查文件，但是4个分区都被 BitLocker 加密了。学弟回想了一下电脑里最重要的文件，是电赛的一个文件夹，其他数据都无所谓。所以我在 PE 下把 BitLocker 解密后把这个文件夹打包，并且删除了文件扩展名，以此来绕过潜在的勒索病毒的威胁。

随后正常开机，解锁了 BitLocker ，检查个人文件发现并没有被加密，排除了病毒属于勒索病毒的可能。

杀灭程序

进程名是随机字符，所以很有可能是经过复制后的结果。打开任务管理器的进程列表，在网上搜索可能的进程名，发现 TrueUpdate Client 应该是病毒复制的源头。

这个程序存放在了公用用户的文件夹下，删掉。

再找找被复制的病毒，在 C:\ProgramData\ 文件夹下复制了不少，删掉。（有些隐藏了，有些设置了权限不容易删除）

计划任务里有不少病毒的自启动任务，删掉。

寻找病毒来源

在得到学弟的同意之后，我检查了学弟的电脑，想要看看病毒的来源。

学弟的电脑非常干净，只有嵌入式开发相关的软件，连游戏都没有。

在调查了各种软件的安装时间和来源之后，我推测，问题可能起因于从含有病毒脚本的不可靠第三方网站下载 Keil 软件时，不慎引入了恶意程序。还好没有发现病毒破坏文件的迹象，不然重要资料可能就危险了。

再见老朋友

两天后，我拖着疲惫的身躯回到宿舍时，已经临近熄灯时刻。舍友询问拯救者玩游戏帧数只有几十，我回答是游戏内设置问题，因为他会照着抖音里一些教程修改系统设置。但同时我注意到了电脑空载时，风扇仍然保持最大转速运行，再联想到前天的经历，我打开了他的任务管理器。

果然，又是一台中毒的电脑。