服务器系统：windows 2008R2 X64，在windows/help文件夹下无故出现一个lsmo.exe的文件，且自动运行了，疑似挖矿程序，结束进程后删除文件，但每隔三小时又会自动出现。本想直接重装了事，但还是像检查下，这个文件如何而来。

首先检查了计划任务，果然发现有几个异常的任务，果断删除之，但过了一段时间，不仅exe文件自动生成了，计划任务也自动生成了。这他喵就尴尬了，还有这种操作的哦。

再次删除文件及计划任务，转战到注册表中的启动项，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run中，查看是否有异常的启动项，果不其然，再次发现，删除之。

这时突然想到之前看到过wmi插件来定时执行任务，会调用到C:\Windows\System32\wbem\scrcons.exe文件，于是安装Autoruns来查看WMI脚本，再次发现异常之处，果断删除。

此问题未再复现。