笔记本刚开机就高温？CPU 90℃、风扇狂转、网速消耗殆尽——威胁检测工程师实战排查全过程

笔记本刚开机就高温？CPU 90℃、风扇狂转、网速消耗殆尽——威胁检测工程师实战排查全过程

摘要：刚开机笔记本风扇狂转、CPU 温度高达 90℃、网络下载速度跑满 1M/s。用威胁检测工程师的思路排查后，竟然发现根本不是病毒，而是 4 款安全软件同时"内斗"。本文完整还原排查过程与解决方案，附可直接使用的检测命令。

一、现象描述

一台搭载 Intel Core Ultra 7 155H 的笔记本（Windows 11 系统），每次开机后出现以下异常：

• 🌡️ CPU 温度迅速攀升至90℃
• 🌀 风扇进入高速转动，噪声明显
• 📡 网络下载速度持续占用，峰值达到1 MB/s
• 💻 系统响应迟钝，操作卡顿

看到这个症状组合，安全从业者的第一反应会是：挖矿木马？远控后门？僵尸网络节点？

让我们用威胁检测工程师的方法论，完整走一遍排查流程。

二、威胁检测方法论

2.1 初步假设（Hypothesis）

根据 MITRE ATT&CK 框架，CPU 满载 + 网络持续下载的组合，最常见的威胁场景如下：

2.2 数据收集阶段

第一步：拉取 CPU 占用 TOP 进程

# 获取 CPU 占用前 20 的进程Get-Process|Sort-ObjectCPU-Descending|Select-Object-First 20|Format-TableName,Id,CPU,@{N='MEM(MB)';E={[math]::Round($_.WorkingSet/1MB,1)}},Description-AutoSize

第二步：分析活跃网络连接（含进程归属）

# 获取所有已建立 TCP 连接，并关联进程名Get-NetTCPConnection-State Established|ForEach-Object{$proc=Get-Process-Id$_.OwningProcess-ErrorAction SilentlyContinue[PSCustomObject]@{RemoteAddr =$_.RemoteAddress RemotePort =$_.RemotePort PID =$_.OwningProcess ProcessName =$proc.Name}}|Sort-ObjectProcessName|Format-Table-AutoSize

第三步：检查启动项与注册表

# 系统级启动项Get-ItemProperty'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'# 用户级启动项Get-ItemProperty'HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

第四步：借助 WMI 获取完整进程路径（绕过部分权限限制）

Get-CimInstanceWin32_Process|Where-Object{$_.Name-match'suspicious_name'}|Select-ObjectName,ProcessId,ExecutablePath,CommandLine|Format-List

三、排查结果

3.1 CPU 元凶清单

排查结果出人意料——没有任何恶意软件。所有高占用进程均来自 4 款合法的安全/系统管理软件：

3.2 网络占用根因

QMDL.exe（QQ 管家专用多线程下载器）是网络满载的主因：

• 同时建立16 条并发 TCP 连接
• 目标 IP：腾讯 CDN 节点111.30.170.28:8081
• 行为性质：在后台静默下载病毒库 / 软件更新包

另外，有一个看起来很可疑的进程名：ipfsvc.exe

😅辟谣：ipfsvc不是加密货币 IPFS 节点，它是Intel Innovation Platform Framework 驱动服务（英特尔平台管理组件），属于正常系统进程。

3.3 进程树分析

开机启动项 ├── kxemain.exe (金山毒霸主进程) │ ├── kxetray.exe (系统托盘) │ └── kscan.exe (全盘扫描器) ← CPU 杀手 ├── QQPCTray.exe (QQ 管家主进程) │ ├── QMDL.exe (多线程下载器) ← 网络杀手 │ ├── MiniHomePagePro.exe │ └── qmlauncher.exe ×7 (7 个启动器实例!) ├── MSPCManagerCore.exe (微软电脑管家) └── 360Tray.exe (360 安全卫士)

四、为什么"安全软件"反而不安全？

4.1 资源竞争问题

安装多款安全软件会产生严重的资源竞争：

• 每款杀毒软件都要挂钩内核文件系统驱动，对每一次磁盘读写进行扫描
• 多款软件同时扫描同一文件时，会产生扫描循环（A 扫描 B 的进程，B 扫描 A 的进程）
• 每款软件都有独立的实时防护守护进程，全部驻留内存、全部消耗 CPU

4.2 数学上的不可能

Intel Core Ultra 7 155H 是 2024 年旗舰移动处理器，正常待机温度 40-55℃。4 款安全软件同时开机扫描，才导致了 90℃ 的"假性过热"。

4.3 功能重叠分析

结论：5 款软件中有 4 项功能完全重叠，纯属资源浪费。

五、解决方案

5.1 推荐配置（精简优先）

保留：Windows Defender（内置，零开销） 卸载：QQ 管家 + 360 安全卫士 + 微软电脑管家 + 金山毒霸

Windows 11 内置的 Windows Defender 已经是全球 AV-TEST 认证的企业级防护，日常使用完全足够，且资源占用接近于零。

5.2 如果不愿全部卸载的折中方案

必须卸载（二选一）：

• QQ 管家 OR 微软电脑管家（两者功能几乎相同）

可保留一款杀毒（三选一）：

• 360 安全卫士 OR 金山毒霸 OR Windows Defender

如果保留第三方杀毒，立即关闭：

金山毒霸设置 → 全盘扫描 → 关闭「开机自动全盘扫描」→ 改为每周日 22:00 定时扫描 360 设置 → 实时防护 → 关闭「软件安装监控」「广告弹窗拦截」（减少 CPU 钩子）

5.3 效果预估

执行精简后，Intel Core Ultra 7 155H 的正常表现应为：

六、威胁检测工程师的反思

这次排查的最大教训是：高 CPU + 高网络 ≠ 一定是恶意软件。

在实际 SOC（安全运营中心）工作中，合法软件的"噪音"是最让检测工程师头疼的问题。如果你的 SIEM 系统对QMDL.exe建立 16 条并发连接报警，但没有正确的白名单配置，每天会收到数千条误报，最终导致分析师"告警疲劳"——真正的威胁反而被淹没。

好的威胁检测，核心不是让规则更多，而是让信噪比更高。

七、延伸：快速健康检查脚本

把以下脚本保存为check_startup.ps1，每次遇到开机异常时运行，30 秒内获取诊断数据：

# Windows 开机高资源排查脚本 v1.0# 使用方法：右键 → 以管理员身份运行Write-Host"=== CPU TOP 15 ==="-ForegroundColor CyanGet-Process|Sort-ObjectCPU-Descending|Select-Object-First 15|Format-TableName,Id,@{N='CPU(s)';E={[math]::Round($_.CPU,1)}},@{N='MEM(MB)';E={[math]::Round($_.WorkingSet/1MB,1)}}-AutoSizeWrite-Host"`n=== 活跃网络连接 TOP 10 进程 ==="-ForegroundColor CyanGet-NetTCPConnection-State Established|Group-ObjectOwningProcess|Sort-ObjectCount-Descending|Select-Object-First 10|ForEach-Object{$p=Get-Process-Id([int]$_.Name)-ErrorAction SilentlyContinue"$($_.Count)条连接 | PID=$($_.Name)| 进程=$($p.Name)"}Write-Host"`n=== 系统启动项 ==="-ForegroundColor CyanGet-ItemProperty'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'|Get-Member-MemberType NoteProperty|Where-Object{$_.Name-notmatch"^PS"}|ForEach-Object{$_.Name+" = "+(Get-ItemProperty'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run').$($_.Name)}

总结

最后的话：最好的防护不是装最多的安全软件，而是装最合适的那一款，然后保持良好的使用习惯。

本文由威胁检测工程师实战排查整理，检测命令均在 Windows 11 + PowerShell 5.1 环境下验证通过。

如有帮助，欢迎点赞收藏 👍