【自查教程】BT 游戏“白加黑”挖矿木马自检方法（3 分钟判断是否中招）

# 【自查教程】BT 游戏“白加黑”挖矿木马自检方法（3 分钟判断是否中招）

近期出现一种通过 BT / 资源站传播的“白加黑”挖矿木马，伪装成正常游戏或补丁文件，实际会在后台偷偷挖矿，并且会主动躲避任务管理器检测。

如果你最近：
- 下载过 BT 游戏、整合版游戏、论坛资源
- 玩游戏时风扇狂转、CPU 占用异常
- 一打开任务管理器占用就突然下降

建议按下面步骤进行一次完整自查。

---

## 一、先看几个典型中招特征（快速判断）

如果你符合其中任意一条，请继续往下检查：

- 游戏运行后 CPU 占用异常高，但打开任务管理器后马上恢复正常  
- 电脑待机时风扇狂转、发热明显  
- 关闭任务管理器后，CPU 又开始慢慢升高  
- 曾运行过来源不明的游戏 / BT 种子 / 破解补丁  

⚠️ 该类木马会主动检测任务管理器、性能监视器等工具，一旦检测到就停止挖矿，非常具有迷惑性。

---

## 二、最关键的一步（90% 能判断）

### ✅ 第一步：检查注册表启动项（是否被劫持）

按 **Win + R**，输入：

cmd

回车后执行：

```bat
reg query "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

正常情况：

Shell    REG_SZ    explorer.exe

如果你看到类似这样（高度危险）：

Shell    REG_SZ    explorer.exe, C:\Users\xxx\AppData\Local\syscacheapp\cacheapp64.exe

✅ 基本可以确认中招

这是该类挖矿木马最典型的持久化方式。

三、检查是否存在木马落地文件（强烈建议）

继续在 CMD 中执行：

dir "%LOCALAPPDATA%\syscacheapp" /a

如果你看到下面任意内容，说明已经被植入：

• cacheapp64.exe
• appsid64.zip
• 目录下文件非常多，体积异常（几百 MB）

⚠️ 该木马会故意制造大量文件，用来伪装成“正常缓存目录”。

四、检查游戏目录是否被 DLL 劫持

进入你下载的游戏目录，重点查这些文件是否存在：

• version.dll
• cryptbase.dll
• libEGL.dll

你也可以用命令快速查：

where /r "D:\你的游戏目录" version.dll
where /r "D:\你的游戏目录" cryptbase.dll
where /r "D:\你的游戏目录" libEGL.dll

如果这些 DLL 和游戏主程序在同一目录，且你并不清楚来源，很可能就是“白加黑”加载点。

五、为什么你平时看不出异常？

这是这类木马最阴的地方：

• 会检测 Taskmgr（任务管理器）
• 会检测 ProcessHacker / perfmon
• 一旦检测到就 自动停止挖矿
• 你一关掉监控，它又继续跑

所以：
👉 只看任务管理器 ≠ 安全

六、如何判断自己是否已经中招？

✅ 高危（基本确认）

满足以下任意一条：

• 注册表 Shell 被改
• 存在 syscacheapp\cacheapp64.exe
• 游戏目录出现可疑 DLL

⚠️ 可疑

• CPU 异常 + 打开任务管理器立刻恢复
• 最近运行过 BT / 破解游戏
• 系统空闲时风扇狂转

七、发现中招后该怎么做（建议顺序）

1️⃣ 立刻断网
2️⃣ 使用杀毒软件全盘扫描（推荐火绒）
3️⃣ 删除：

• %LOCALAPPDATA%\syscacheapp\
• 可疑游戏目录
  4️⃣ 恢复注册表 Shell 为：

explorer.exe

5️⃣ 重启系统
6️⃣ 不要再运行原来的游戏文件

⚠️ 如果你不熟注册表，建议先备份或使用杀毒软件自动修复。

八、总结一句话

这类木马不是“技术多高”，而是“非常会藏”。
不看注册表、不查启动项、不翻目录，几乎发现不了。

如果你愿意，可以把下面两条命令的结果贴出来（打码用户名即可），我可以帮你快速判断是否中招：

reg query "HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell

dir "%LOCALAPPDATA%\syscacheapp" /a