中了挖矿木马查杀方法 一、现象 1、 window 2008 以上系统，远程登录卡在输入密码后，长时间没反应，无法看到桌 面 2、 重启系统后，5 分钟左右看到 cpu 占用在 50%以上，任务管理器发现 spoolsv.exe 在非系统目录运行 3、 4、 5、 进 程 看 到 rundll 50% cpu 占 用 ， spoolsv.exe 反 复 重 启 动 ， 文 件 目 录 为 C:\Windows\SpeechsTracing 

二、处理方法 a、 删除服务和文件 1、禁用后删除服务 windows modules activations services net stop wmassrv sc delete wmassrv 2、删除 wmassrv.dll b、杀掉进程、删除文件 1、杀掉 rundll 和 spoolsv 进程，cpu 占用高 2、删除 EnrollCertXaml.dll 3、删除 HalPluginsServices.dll， 4、删除目录 C:\Windows\SpeechsTracing 文件夹 C、重启操作系统 三、临时性解决方法 1、 关闭 window 共享服务 2、 手动删除木马文件