@zaishanfeng 好像早就有扩容方案了，为啥一直没实行？

@xingchengo 应该是病毒无误，被叫做 Wdfload。网上已经能搜到分析了，行为差不多螚对上号。

@xingchengo 再看看计划任务（比如用 Autoruns ），看上去是从计划任务自启的。

@xingchengo 把这个 dll 传 VirusTotal 吧。

@xingchengo 这个文件当然是 Windows 自己的……但 rundll32 只是个“容器”，里面是啥都能跑啊。你用 Process Monitor 看了么？是哪个进程启动 rundll32 的？参数？

@restran rundll32.exe 又是哪来的呢？

@restran 不知道你有没有在用 UEFI+GPT ？
如果没在用 UEFI+GPT，还是传统 BIOS+MBR 的话，建议你用 WinPE 启动，检查一下 MBR 和 PBR 代码是否正常。暗云木马就是在 MBR 里安家的（当然，一个扇区肯定装不下，在别的扇区有余下的部分）。系统启动时木马代码优先被执行，然后在内核里挂钩做手脚，有些 ARK 工具（比如 PCHunter ）都被欺骗，查不到异常。

@wevsty 有一阵子流行暗云木马的变种，一开始我用 360 的急救箱都完全没用（联网了）。后来跟他们反馈了一下，过了一阵子（也不知道和我的反馈有没有关系），他们更新了，就可以杀了，但是急救箱界面上仍然没扫到任何东西。

@restran 我试过用 DoublePulsar 这个内核后门跑 meterpreter 木马……
用 Process Explorer 看，就是被注入的 lsass.exe 产生了 rundll32.exe，然后它又执行了 meterpreter ……
排查启动项可以用 Autoruns。如果怎么找都找不到自启在哪，也许人家在内核里做了手脚，把自己藏起来了；或者，人家已经在你电脑上装了 Bootkit，完全拿下了内核控制权……

我刚刚通过构造更高矿工费的“双花”成功把币拿回来了：
https://www.v2ex.com/t/365473
不知道算不算 Replace By Fee，看一些帖子说 RBF 是需要被替换的交易标记为允许 RBF 才行的，我好像没标记，但仍然成功了。
试了很多个途径去广播，包括 https://coinb.in、https://blockchain.info/pushtx 等在线交易广播服务，还有本地钱包如 Electrum （换了几个服务器），还有 Bitcoin Core 自己。当时只有 Bitcoin Core 自己没报错，Electrum 和在线交易广播服务都提示拒绝接受。但最后居然成功了……

@boter 我去，“双花”好像成功了😂我试了好几个途径去广播，不知道是哪个节点帮我广播出去的。

能看见进程，也许只是幸运，没碰到技术太变态的；也可能只是冰山一角……
如果是进入内核运行的恶意代码，把自己完全藏起来是有可能的。远的不说，想想 DoublePulsar、暗云、谍影系列木马……

你需要重装系统了……
有兴趣的话，上传 VirusTotal。Process Monitor 的 Boot Logging 也可以帮你监控系统启动过程。
Process Monitor 直接勾选 Enable Boot Logging 可能会提示拒绝访问，你可以先保存一个 PML 文件，然后重启，再打开那个被保存的 PML 文件，这样 Process Monitor 就不会加载驱动，这个时候再勾选 Enable Boot Logging 就不会拒绝访问了。

@boter 好像 RBF 也是要之前的交易标记允许才行的？
现在 BlockChain 上一直都有拿笔卡住的交易，新构造的交易则拒绝接受。

这些交易所的价格立马涨上来了……立竿见影😂

反正我下东西时是尽量先验证数字签名或 hash 值的……

这个 V 站以前讨论过吧：
https://www.v2ex.com/t/222412
连死链接都能“解决”，“缓存过期”甚至“投毒”也许都不是太奇怪的事情吧……但迅雷他们估计也不傻，在用一些办法尽量校验。