Server2016-dump_B5C1F72C-请等候UserProfileService-请等候gpsvc-请等候SENS，弹窗.yjquarabackup

机器被植入了病毒木马导致无法正常进入系统，但主机安全agent没有上报出来，是我发现进不去系统一直卡在"请等候 User Profile Service"，初步研究发现中招了。

每次远程上去都会弹【Windows无法打开此类型的文件（.yjquarabackup）】，警惕是中挖矿了，文件在C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\

文件名：microsoftprt.exe

警惕C:\windows\tasks\目录或C:\windows\Debug\目录的文件（可能是隐藏的），如果目录打不开，风险很大

就是上面同样的挖矿能整垮Server2016系统，但没整垮Server2019系统，说明高版本系统安全性更好

详细类似如下文档的情况

文档里的case是2012R2，而这台机器是2016系统，按文档"F8禁用驱动程序强制签名"的办法还是进不去系统（禁用签名前是卡在"请等候 User Profile Service"，禁用后变成"请等候gpsvc"），在winpe下杀毒、处理注册表异常服务后可以进入系统，但会在登录时卡在SENS服务数十秒。

https://cloud.tencent.com/developer/article/1942103

https://cloud.tencent.com/developer/article/1930775

sens.dll被篡改

正常的 ‪C:\Windows\System32\sens.dll 属性常规位置没有C:\Windows\sysnative，大小也没有385KB那么大，详细信息也不是空白

该报错是因为C:\Windows\System32\sens.dll被篡改，无权限访问，SYSTEM权限或TrustedInstaller权限都无法删除这个异常文件，原本想删了换成正常文件，卡在无权限删除，最终在winpe下删除、替换成正常文件来恢复SENS服务从而不影响正常登录。

注意：中招后，这2个目录可能访问不了（没中招时可以），需要提权

C:\Windows\tasks\

C:\Windows\debug

takeown /F "C:\Windows\Tasks" /R /D Y
icacls "C:\Windows\Tasks" /grant Administrators:F /T
icacls "C:\Windows\Tasks" /reset

takeown /F "C:\Windows\Debug" /R /D Y
icacls "C:\Windows\Debug" /grant Administrators:F /T
icacls "C:\Windows\Debug" /reset

单个文件C:\Windows\System32\sens.dll在安全模式下或winpe救援模式下处理
takeown /f C:\Windows\System32\sens.dll
icacls C:\Windows\System32\sens.dll /grant administrators:F
del C:\Windows\System32\sens.dll