一、先说说怎么发现的 
前段时间vps上部署的moontv自动更新失败，原来新版本的moontv需要先在电报上获取授权码，这个授权码是必填的环境变量，不填就部署不成功。当我成功获取到授权码却依然部署失败，经检查才发现原来所复制的授权码，被自动替换成了黑客的钱包地址。这个病毒挺狡猾，复制其他内容都很正常，只有在检测到复制的内容是类似钱包的代码时，就会将这串代码进行替换。 
这是被替换后黑客的地址： 
 [屏幕截图 2025-08-23 192606] 
二、采取的措施 
1.试了用360全盘查杀，还有火绒，都查不出来。 
2.也用了b站上某位up主的查找剪贴板病毒的python脚本。这个脚本的原理是刚开机时病毒程序还没有加载，剪贴板功能是正常的，通过比较剪贴板功能异常前后加载了哪些新的进程从而找到病毒程序。而我的情况是，在脚本运行前病毒就已经加载了，打开脚本就提示被劫持，没有一个从正常到异常...