當前位置:首頁 » 挖礦知識 » 挖礦病毒手動清除

挖礦病毒手動清除

發布時間: 2024-10-29 12:15:43

❶ LTC挖礦軟體cgminer內有木馬怎麼辦

你這個軟體就說明帶有木馬呀
Trojan一詞的特洛伊木馬本意是特洛伊的,指特洛伊木馬,是木馬計的故事
如果電腦中了木馬建議盡快殺毒以免造成系統問題
可以先做一次全盤殺毒
然後針對性的:
騰訊電腦管家--工具箱--木馬剋星
最後開啟實時防毒保護。

❷ 電腦被挖礦怎麼辦

電腦被挖礦是一種惡意程序襲擊,礦工程序會利用電腦的計算能力來挖掘加密貨幣,從而盜取計算能力。這種攻擊會消耗大量的計算能力和電力資源,導致電腦運行緩慢,且危害性很大。如果你的電腦被挖礦了,那麼你應該採取以下步驟來解決:

1. 掃描病毒
首先,你需要運行殺毒軟體來掃描病毒。殺毒軟體可以識別和清除礦工程序和其他惡意軟體。如果你沒有安裝殺毒軟體,那麼你需要安裝一個來保護你的電腦。注意,你需要定期更新你的殺毒軟體,以便保持其最新的病毒定義。
2. 查找並停止進程
一旦殺毒軟體檢測到病毒,你需要手動查找並停止相關的進程。進程可以通過任務管理器或其他進程管理工具來查找。一旦找到了礦工程序的進程,你需要停止它,以防止其繼續消耗你的計算能力。
3. 更改密碼
如果你的電腦被攻擊,那麼有可能是因為你的密碼被盜,或者你的電腦安全措施不足。所以,你需要更改你的密碼,並提高你的安全措施,包括解鎖你的防火牆和關閉遠程桌面連接等。
4. 更新軟體
礦工程序和其他惡意軟體通常會利用安全漏洞來攻擊你的電腦。要避免這種情況,你需要定期更新你的軟體和系統。更新可以修復已知的安全漏洞。
5. 備份數據
最後,你需要備份你的數據。備份可以保護你的重要文件和數據免受損壞和丟失。你可以將數據備份到雲存儲或外部存儲器中。
總結
電腦被挖礦是一種常見的惡意程序攻擊,它會危及你的計算能力和電力資源。如果你的電腦被攻擊,你需要運行殺毒軟體來掃描病毒,並找到並停止相關的進程。你還需要更改你的密碼,更新你的軟體和系統,並備份你的數據。以上這些步驟可以幫助你解決電腦被挖礦的問題,以幫助你保護你的電腦和數據。

❸ WannaMine挖礦木馬手工處理

關於病毒及木馬的問題,都說老生常談的了,這里就不講逆向分析的東西,網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實,很多時候都被問的煩了。

WannaCry勒索與WannaMine挖礦,雖然首次發生的時間已經過去很久了,但依舊能在很多家內網見到這兩個,各類殺毒軟體依舊無法清除干凈,但可以阻斷外聯及刪除病毒主體文件,但依然會殘留一些。此種情況下,全流量分析設備依舊可以監測到嘗試外聯,與445埠掃描行為。

WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後,仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。

WannaMine 全系使用「永恆之藍」漏洞,在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。

下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。

WannaMine2.0版本

該版本釋放文件參考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。

WannaMine3.0版本

該版本釋放文件參考如下:

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需刪除主服務snmpstorsrv與UPnPHostServices計劃任務

WannaMine4.0版本

該版本釋放文件參考如下:

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴:xml、log、dat、xsl、ini、tlb、msc</pre>

關於Windows下計劃任務與啟動項查看方式,建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下,可以到注冊表下查看。

注冊表下排查可疑的計劃任務

HKEY_LOCAL_

發現可疑項可至tasks下查看對應ID的Actions值

HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]

計劃任務文件物理目錄
C:

新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊,Autoruns可以用來檢查WMI與啟動項並進行刪除,在手動刪除病毒相關計劃任務與啟動項時,記得刪除相應的文件與注冊表ID對應項。

注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]

❹ 解決挖礦病毒的經歷

線上一台伺服器,CPU高達90%以上,經過top 分析出進程kdevtmpfsi
kill -9 殺死進程無果,很快就會自動恢復
排查步驟:

結果:

病毒被植入到了線上運行的某一docker容器內。

如何先確定是哪一容器再去刪除搜索結果中的病毒文件?

我這台機器跑的容器不多,可以用復制文件的方法,先 docker cp 一個文件到容器中。再去find 這個文件
如果結果還是在剛才搜索病毒的那個文件目錄下(/var/lib/docker/devicemapper/mnt/xxxxx )就可以確定容器了。結果是php的容器出現了問題。

知道是具體是什麼容器出現了問題,最快的辦法就是先重啟一個新的容器。
我這邊是nginx +php 兩種服務容器,所以先啟動了一個新php容器,修改nginx中配置文件代理後端php伺服器埠為新容器的IP地址。(nginx容器已經映射目錄到宿主機)

修改PHP後端IP地址
cd 宿主機映射nginx的配置文件位置目錄

測試線上環境正常後,刪除原來的php容器。(這是自然也==直接刪除了病毒文件)
執行 TOP命令,CPU佔用正常。
平時防火牆和sellinux都關閉的話,伺服器不要暴漏太多無用埠,出現問題應該最新通過進程名去查找文件的原始位置去分析問題,遇到挖礦病毒也應該多注意/etc/init.d下和cron計劃任務有無異常。
後期也可以寫個cron或者腳本

❺ 手機如何清除挖礦木馬

下載殺毒軟體,比如手機安全衛士,進行殺毒清理,然後重啟手機就可以了。

熱點內容
以太坊名字來源 發布:2025-01-10 02:21:47 瀏覽:170
私人電腦礦機 發布:2025-01-10 02:07:00 瀏覽:233
挖礦卡對顯存大小 發布:2025-01-10 01:50:35 瀏覽:594
區塊鏈對醫療行業的改變 發布:2025-01-10 01:21:33 瀏覽:887
買入btc測試用例 發布:2025-01-10 01:13:12 瀏覽:397
思特奇參與中國移動區塊鏈安全標准 發布:2025-01-10 01:13:10 瀏覽:826
以太坊最新價格行 發布:2025-01-10 01:05:19 瀏覽:649
如何去富力中心 發布:2025-01-10 01:00:13 瀏覽:640
手機挖礦比特幣會損害手機嗎 發布:2025-01-10 00:52:49 瀏覽:455
在幣圈掙錢的多嗎 發布:2025-01-10 00:43:39 瀏覽:946