Windows 10 Temp 目录出现奇怪的 *.tmp.exe 文件

最近在任务管理器中发现了很奇怪的程序，*.tmp.exe 的进程，而且还是 SYSTEM 用户， 现在是每次开机都会自动在 C:\Windows\Temp\ 目录下面创建这些文件，并自动运行，防火墙也被关了。

用腾讯的电脑管家扫描提示安全，但是用 360 杀毒扫描提示是木马。分析之后发现里面有一个 EXE 包含了很多加密模块的代码，吓得以为是勒索软件，但感觉又不像。但是用 360 全盘扫描也没发现其他的问题，把这些木马清除后，下次开机后又出现了，想知道这是什么，还有就是有什么好的解决方法吗？

分析了一下，发现会自动连上一控制端的 IP，111.90.145.100:5555 做一个登录操作。用 ipip.net 查询后发现是马来西亚的 IP。

传输的数据内容是这样的

nmap 一下发现开了这些端口

PORT     STATE    SERVICE
21/tcp   open     ftp
80/tcp   open     http
139/tcp  filtered netbios-ssn
445/tcp  filtered microsoft-ds
3333/tcp open     dec-notes
5555/tcp open     freeciv
6667/tcp filtered irc
6668/tcp filtered irc
6669/tcp filtered irc
7777/tcp open     cbt
8888/tcp open     sun-answerbook

访问一下页面

http://111.90.145.100:3333/

发现会返回这个

mining server online

看起来有点像比特币的挖矿服务端