挖礦病毒systmss
『壹』 電腦病毒刪不掉怎麼辦 如何徹底刪除電腦病毒
抱歉,我來晚了,做系統安全維護多年了。 說點干貨。
病毒刪不掉,或者刪掉後又復活,一般稱之為頑固病毒。
比如常見的頑固病毒:1.挖礦病毒(後台吃CPU和顯卡)2,ddos病毒(利用電腦的線程做任務)3,遠程式控制制病毒(盜取資料,竊聽隱私等)4.蠕蟲病毒(感染文件等後門) 。。。。。。 很多。
解決方法(需要懂點計算機技術):每個頑固病毒背後都有一個核心的母體病毒,也就是母體如果不處理,那麼表面上的病毒,即便刪除,也會自動繁衍。
所以,根除頑固病毒,我一般的方法就是,新建一個txt文本(或者16進制二進制查看器),把病毒拖進去,看看具體代碼,一般核心代碼部分是可以看到的,一般就能定位到具體感染系統的哪個文件夾的哪個程序,一般都在windows/system32(64). 然後用雲查殺,看看到底有沒有病毒,如果有,把他刪掉之後,也就是根除頑固了。 不知道你是哪種類型的病毒,你可以拍照一下,因為我經常遠程處理各種計算機病毒,我看一下就知道用什麼方法了。
『貳』 伺服器上如何清除NrsMiner挖礦病毒
挖礦病毒完整清除過程如下,請在斷網情況下進行:
1.停止並禁用Hyper-VAccess Protection Agent Service服務;
2.刪除C:Windowssystem32NrsDataCache.tlb;
3.刪除C:.dll,若刪除失敗,可重命名該文件為其他名稱;
4.重啟計算機;
5.刪除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目錄;
6.刪除C:Windowssystem32SecUpdateHost.exe。
7.到微軟官方網站下載對應操作系統補丁,下載鏈接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安裝國內主流殺毒軟體,及時更新至最新病毒特徵庫。
『叄』 比特幣病毒入侵,有什麼好的辦法防治嗎
比特幣病毒是一種敲詐病毒,該病毒是通過遠程對感染者的電腦文件加密,從而向這台感染電腦的用戶索要加密用戶電腦文件,從而向用戶勒索贖金,用戶文件只能在支付贖金後才能打開。它運用的是4096位演算法,這種演算法,普通電腦需要幾十萬年才能破解出來,超級電腦破解所需時間也可能得按年計算,國內外尚無任何機構和個人能夠破解該病毒,支付贖金是恢復文件的唯一辦法。說通俗一點,該病毒像一個擁有金剛不壞之身的搶劫者,路上的人們都是他的攻擊對象,而警察卻不能制服他。
那麼我們該如何防止它,避免讓自己的電腦中招呢?
今後養成定期備份自己電腦中的重要文件資料到移動硬碟、U盤,備份完後離線保存該磁碟。這樣隨你刪,刪完之後我還有~
要養成不明鏈接不要點擊,不明文件不要下載,不明郵件不要打開的好習慣。
安裝最新的安全補丁,各大網路平台都可以找到
關閉445、135、137、138、139埠,關閉網路共享。win10重啟後,微軟會自動處理這個漏洞。win7可以打開360衛士、電腦管家等,進行漏洞補丁的修復;而以被流放的XP 的用戶就只能自己手動關閉455埠了。
如何關閉455埠?
在控制面板中找到Windows防火牆,開啟防火牆,進入防火牆的高級設置,在「入站規則」中新建一條規則,本地埠號選擇445,操作選擇阻止連接。其他埠號也是同樣的方法。
最後祝大家好運~
『肆』 怎麼取消one system care
1、在有360安全衛士的windows電腦,啟動360安全衛士,進行全盤木馬查殺。
『伍』 WannaMine挖礦木馬手工處理
關於病毒及木馬的問題,都說老生常談的了,這里就不講逆向分析的東西,網上畢竟太多。就寫一下WannaMine2.0到4.0的手工處理操作。確實,很多時候都被問的煩了。
WannaCry勒索與WannaMine挖礦,雖然首次發生的時間已經過去很久了,但依舊能在很多家內網見到這兩個,各類殺毒軟體依舊無法清除干凈,但可以阻斷外聯及刪除病毒主體文件,但依然會殘留一些。此種情況下,全流量分析設備依舊可以監測到嘗試外聯,與445埠掃描行為。
WannaCry 在使用殺毒軟體及手動清除攻擊組件所在目錄後,仍需手動cmd命令刪除兩個系統服務sc delete mssecsvc2.0與mssecsvc2.1。
WannaMine 全系使用「永恆之藍」漏洞,在區域網內快速傳播。且高版本會在執行成功後完全清除舊版本。
下圖為WannaCry與WannaMine使用的永恆之藍攻擊組件相關文件。
WannaMine2.0版本
該版本釋放文件參考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 刪除系統服務名與DLL文件對應的wmassrv。
WannaMine3.0版本
該版本釋放文件參考如下:
C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll
需刪除主服務snmpstorsrv與UPnPHostServices計劃任務
WannaMine4.0版本
該版本釋放文件參考如下:
C:WindowsSystem32 dpkax.xsl
C:WindowsSystem32dllhostex.exe
C:.dll
C:.dll
C:WindowsSysWOW64dllhostex.exe
C:WindowsNetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名隨機組合參考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp壓縮文件隨機字元串後綴:xml、log、dat、xsl、ini、tlb、msc</pre>
關於Windows下計劃任務與啟動項查看方式,建議在使用PCHunter、Autoruns、ProcessHacker等工具無法發現異常的情況下,可以到注冊表下查看。
注冊表下排查可疑的計劃任務
HKEY_LOCAL_
發現可疑項可至tasks下查看對應ID的Actions值
HKEY_LOCAL_ asks[圖片上傳失敗...(image-e8f3b4-1649809774433)]
計劃任務文件物理目錄
C:
新變種病毒有依靠 WMI 類屬性存儲 ShellCode 進行攻擊,Autoruns可以用來檢查WMI與啟動項並進行刪除,在手動刪除病毒相關計劃任務與啟動項時,記得刪除相應的文件與注冊表ID對應項。
注冊表下查看開機啟動項
HKEY_CURRENT_或runOnce [圖片上傳失敗...(image-8a357b-1649809774432)]
『陸』 電腦被xmr-eu2.nanopool.org:14433佔用資源是怎麼回事
在(2)這個進程上右鍵,打開文件位置,看看能不能找到這個(2).exe的程序文件。如果能的話,就在任務管理器右鍵結束進程,然後刪除這個(2)的文件。
建議不要關閉防火牆、defender等自帶殺毒軟體。也不要關閉windows的訪問通知許可權。這樣就不會被這些奇怪的病毒或垃圾程序困擾。
『柒』 win7小馬激活工具腳本
win7小馬激活工具腳本(win7激活工具 小馬)一、Windows Loader捕獲到一個偽裝成激活軟體WindowsLoader的病毒樣本。經分析,該樣本並沒有激活功能,其主要功能是安裝廣告軟體以及挖礦程序。
挖礦程序會拉起系統進程並在其中注入挖礦代碼,並循環監控taskmgr.exe進程,如果檢測到 taskmgr.exe進程則終止挖礦,使得受害者比較難以察覺。
1 病毒母體 病毒母體圖標偽裝成Windows Loader:
其實是用CreateInstall製作的安裝包:
安裝界面:
釋放如下幾個文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目錄並運行腳本 WINLOADER_SETUP.BAT。
WINLOADER_SETUP.BAT依次運行WindowsLoader.exe、Registry_Activation_2751393056.exe和 activation.exe。
WindowsLoader.exe與Registry_Activation_2751393056.exe都是廣告軟體,activation.exe則是挖礦程序。
2 WindowsLoader.exe
首先是WindowsLoader.exe安裝界面:
會下載並安裝RunBooster:
安裝RunBooster服務:
RunBoosterUpdateTask升級任務計劃:
RunBooster的抓包行為:
3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe安裝界面:
功能存在問題,下載的exe文件沒有帶後綴名:
4 activation.exe 首先在Local目錄下新建cypjMERAky文件夾並將自己拷貝到下面。
添加註冊表自啟動項。
檢測是否存在taskmgr.exe進程。
如果taskmgr.exe進程不存在則拉起系統進程wuapp.exe,參數為" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 [email protected] -p x -t 2"。
將挖礦程序注入到wuapp.exe進程。
挖礦程序為開源的cpuminer-multi 1.2-dev。
電腦
進入循環,守護注冊表自啟動項,並檢測taskmgr.exe進程,如果檢測到則終止wuapp.exe。
二、小馬激活
"小馬激活"病毒的第一變種只是單純地在瀏覽器快捷方式後面添加網址參數和修改瀏覽器首頁的注冊表項,以達到首頁劫持的目的。由於安全軟體的查殺和首頁保護功能,該版本並沒有長時間流行太長時間。其第二變種,在原有基礎上增強了與安全軟體的對抗能力。
由於其作為"系統激活工具"具有入場時間較早的優勢,使用驅動與安全軟體進行主動對抗,使安全軟體無法正常運行。在其第三個變種中,其加入了文件保護和注冊表保護,不但增加了病毒受害者自救的難度,還使得反病毒工程師在處理用戶現場時無法在短時間之內發現病毒文件和病毒相關的注冊表項。其第四個變種中,利用WMI中的永久事件消費者(ActiveScriptEventConsumer)注冊惡意腳本,利用定時器觸發事件每隔一段時間就會執行一段VBS腳本,該腳本執行之後會在瀏覽器快捷方式後面添加網址參數。該變種在感染計算機後,不會在計算機中產生任何文件,使得病毒分析人員很難發現病毒行為的來源,大大增加了病毒的查殺難度。通過如下表格我們可以更直觀的了解其發展過程:
電腦
通過我們近期接到的用戶反饋,我們發現了"小馬激活"病毒的新變種。該變種所運用的對抗技術十分復雜,進一步增加了安全軟體對其有效處理的難度,甚至使得病毒分析人員通過遠程協助處理用戶現場變得更困難。這個"小馬激活"病毒的最新變種運行界面如下:
2 樣本分析
該病毒釋放的驅動文件通過VMProtect加殼,並通過過濾驅動的方式攔截文件系統操作(圖2),其目的是保護其釋放的動態庫文件無法被刪除。通過文件系統過濾驅動,使得系統中的其他進程在打開該驅動文件句柄時獲得的是tcpip.sys文件的句柄,如果強行刪除該驅動文件則會變為刪除tcpip.sys文件,造成系統無法正常連接網路。我們通過下圖可以看到火絨劍在查看文件信息時,讀取的其實是tcpip.sys文件的文件信息。由於此功能,使得病毒分析人員無法在系統中正常獲取該驅動的樣本。
該驅動通過注冊關機回調在系統關機時該驅動會將自身在%SystemRoot%\System32\Drivers目錄重新拷貝成隨機名字的新驅動文件,並將驅動信息寫入注冊表,以便於下一次時啟動載入。在驅動載入之
後,其會將locc.dll注入到explorer.exe進程中。該驅動對locc.dll文件也進行了保護,當試圖修改或者刪除該動態庫時,會彈出錯誤提示"文件過大"。
當病毒的驅動將locc.dll注入到explorer.exe進程後會執行首頁劫持相關邏輯。通過火絨劍的內存轉儲,我們可以看到該病毒鎖定的所有網址。
l l l l l l l l l l l l l l l l l
通過抓取上述網址中的網頁信息,我們可以發現上述網址中存放的其實是一個跳轉頁。通過使用跳轉頁面,病毒作者可以靈活調整計費鏈接和推廣網址,並且對來自不同瀏覽器的流量進行分類統計。
三、解決方案
(1) 不從不明網站下載軟體,不要點擊來源不明的郵件以及附件;
(2) 及時給電腦打補丁,修復漏洞;
(3) 盡量關閉不必要的文件共享許可權以及關閉不必要的埠,如:445,135,139,3389等;
(4) 安裝專業的終端/伺服器安全防護軟體,深信服EDR能夠有效查殺該病毒。
探討滲透測試及黑客技術,請關注並私信我。#小白入行網路安全# #安界網人才培養計劃#
『捌』 挖礦病毒分析(centos7)
rm -rf /root/.ssh/*
如果有配置過密鑰認證,需要刪除指定的黑客創建的認證文件即可。
ls /proc/10341 查看進程文件
該腳本執行了 /xm 腳本,並且總是會重啟服務。如果此程序不進行清除,即使殺死了對應的進程,過一會還是會執行重新創建,又導致伺服器異常。
因此,先停止啟動腳本配置項:
systemctl disable name.service
刪除腳本:
rm -rf /etc/systemd/system/xm.service
5,啟動腳本刪除完後,刪除相應的程序
ps -ef|grep xmrig
ps -ef|grep javs
kill 9 pid
ls /proc/10341