‼️检查你的Clash For Windows ‼️ 今天我的新装了不到一周的电脑中病毒了，所幸没有资产被盗，目前已经换了钱包。

发现的原因是下午电脑开着在旁边玩手机，一抬头发现鼠标在动，电脑进入一个需要输入pin码的页面，我还以为是鼠标坏了尝试控制，发现对方在跟我争抢要点右下角的后台。没来得及看清楚它在干嘛，手比脑子快直接按机箱强制重启了。

因为电脑硬件和系统（官网下载的镜像）都是我自己装的，新电脑下的软件不多比较好排查，可能是一些非官方途径下载的软件。

然后我下载了火绒和360深入扫了几遍，得到了以下问题文件：

可以发现主要是两个可执行文件，一个在clash for windows下的目录的facation.exe， 一个是在~/Vedios文件夹下的隐藏文件夹中的enqucz.exe 。因为clash for win早就删库了，只是习惯问题我一直在用，前几天下载的时候其实也想到了可能会有问题，只是没往心里去，没想到这么快就暴雷了。

我在另一台电脑的同版本clash for win是没有这个叫facation的文件的，打开everything搜索，看到了它事无巨细地保存了我chrome的相关记录：

里面每个文件夹里有log文件，包含了我很多浏览信息比如说打开的网页信息等等（文件比较大，不知道是什么编码，暂时没找到有没有私钥信息），非常非常恐怖！

另一个enqucz.exe文件藏得很深，不在clash目录，隐藏在了Vedio目录（我的电脑里没有任何视频），可以看到创建时间和上面facation.exe相关文件很接近，都是7月7日傍晚到晚上。并且这个在一个隐藏文件夹，即使电脑打开了显示隐藏文件或者输入ls指令都是看不到的，在powershell中输入Get-ChildItem -Force才能看到。

所以病毒程序应该是从我7月7号左右安装了clash for win开始（因为反复装了几次不太记得来源了），潜伏在电脑里，然后从昨天晚上开始其实我就发现了有点异样，就是chrome的内存占用极高且有机会突然把CPU跑到100%，只是以为哪个插件有bug没太注意，然后到今天下午远程操控了电脑。

事后处理： 杀毒软件扫了几次盘，关闭了windows所有远程控制相关的服务，删除了所有clash相关文件并用格式化后的u盘从另一台电脑拷贝了Clash Verge（官方库）的安装程序。转移钱包资产后断网后改了电脑的pin码，其他登录密码因为基本都开了2FA所以算相对安全。晚点需要找时间重装系统。（想到要重配开发环境就难受）

最后建议所有web3的朋友们不要从非官方途径下载任何电脑软件尤其是涉及浏览器/输入法/网络代理软件/社交软件的。