‼️檢查你的Clash For Windows ‼️ 今天我的新裝了不到一周的電腦中病毒了，所幸沒有資產被盜，目前已經換了錢包。

發現的原因是下午電腦開着在旁邊玩手機，一抬頭發現鼠標在動，電腦進入一個需要輸入pin碼的頁面，我還以爲是鼠標壞了嘗試控制，發現對方在跟我爭搶要點右下角的後臺。沒來得及看清楚它在幹嘛，手比腦子快直接按機箱強制重啓了。

因爲電腦硬件和系統（官網下載的鏡像）都是我自己裝的，新電腦下的軟件不多比較好排查，可能是一些非官方途徑下載的軟件。

然後我下載了火絨和360深入掃了幾遍，得到了以下問題文件：

可以發現主要是兩個可執行文件，一個在clash for windows下的目錄的facation.exe， 一個是在~/Vedios文件夾下的隱藏文件夾中的enqucz.exe 。因爲clash for win早就刪庫了，只是習慣問題我一直在用，前幾天下載的時候其實也想到了可能會有問題，只是沒往心裏去，沒想到這麼快就暴雷了。

我在另一臺電腦的同版本clash for win是沒有這個叫facation的文件的，打開everything搜索，看到了它事無巨細地保存了我chrome的相關記錄：

裏面每個文件夾裏有log文件，包含了我很多瀏覽信息比如說打開的網頁信息等等（文件比較大，不知道是什麼編碼，暫時沒找到有沒有私鑰信息），非常非常恐怖！

另一個enqucz.exe文件藏得很深，不在clash目錄，隱藏在了Vedio目錄（我的電腦裏沒有任何視頻），可以看到創建時間和上面facation.exe相關文件很接近，都是7月7日傍晚到晚上。並且這個在一個隱藏文件夾，即使電腦打開了顯示隱藏文件或者輸入ls指令都是看不到的，在powershell中輸入Get-ChildItem -Force才能看到。

所以病毒程序應該是從我7月7號左右安裝了clash for win開始（因爲反復裝了幾次不太記得來源了），潛伏在電腦裏，然後從昨天晚上開始其實我就發現了有點異樣，就是chrome的內存佔用極高且有機會突然把CPU跑到100%，只是以爲哪個插件有bug沒太注意，然後到今天下午遠程操控了電腦。

事後處理： 殺毒軟件掃了幾次盤，關閉了windows所有遠程控制相關的服務，刪除了所有clash相關文件並用格式化後的u盤從另一臺電腦拷貝了Clash Verge（官方庫）的安裝程序。轉移錢包資產後斷網後改了電腦的pin碼，其他登入密碼因爲基本都開了2FA所以算相對安全。晚點需要找時間重裝系統。（想到要重配開發環境就難受）

最後建議所有web3的朋友們不要從非官方途徑下載任何電腦軟件尤其是涉及瀏覽器/輸入法/網路代理軟件/社交軟件的。