挖礦病毒怎麼在進程上看
⑴ 怎樣看電腦是否中了挖礦病毒
安裝殺毒軟體,挖礦病毒會佔用你的硬體使用率,打開任務管理器觀察CPU和顯卡的使用率,如果待機時使用率長時間佔用嚴重,就可以懷疑中了挖礦病毒了。
⑵ 在進程里怎麼看有沒有病毒
您好
1,因為木馬病毒都是具有偽裝性和隱藏性的,所以判斷起來非常困難,除非是明顯的,重復進程,容易被發現。
2,最好的辦法就是到騰訊電腦管家官網下載一個電腦管家。
3,然後打開電腦管家——殺毒——全盤查殺,檢測一下。
4,電腦管家擁有自主研發的管家第二代鷹眼智能反病毒引擎,採用了新一代的機器學習技術,能夠幫助您精準查殺各種流行頑固木馬,維護電腦正常運行。
如果還有其他疑問和問題,歡迎再次來電腦管家企業平台進行提問,我們將盡全力為您解答疑難
⑶ 阿里雲windows伺服器中了挖礦的病毒怎麼清理
光刪除沒用的,因為沒有解決好漏洞。
建議是重做系統,然後找護衛神給你做一下系統安全加固,把漏洞徹底堵住才有效果。
⑷ 如何從進程查看是否中了病毒和木馬
這需要大量的進程和windows系統知識,而且有些正常的進程里也可能注入了
木馬病毒
的程序,高級的木馬病毒用rootkit技術可以隱藏進程。。
⑸ 小心!你的電腦可能在幫別人挖礦
卡巴斯基實驗室(Kaspersky Lab)數據顯示,去年全年被挖礦病毒(CryptoVirus)入侵的計算機和移動設備的數量增加了44.5%。
黑客不再藉助加密病毒來勒索錢財——他們只是在你的電腦上植入了一種病毒,瞞天過海。這種加密病毒就是挖礦病毒。它們將對你的設備造成什麼傷害?怎樣才能甩掉它們?
什麼是挖礦病毒?
挖礦病毒簡言之就是一段代碼或一個軟體,可在用戶的個人電腦或智能手機上悄悄運行挖礦程序。攻擊者可以利用不知情的受害者的計算機來挖掘加密貨幣。
最常用的挖礦病毒用於獲取Monero或ZCash。 還有很多專門用於挖掘小型山寨幣的應用程序,因為比起挖比特幣而言,挖一些小型山寨幣用個人電腦更有效率。此外,這些病毒甚至可以在Android操作系統上運行。也有黑客使用NiceHash和MinerGate的案例。
通常情況下,挖礦病毒的開發者不僅僅局限於在基於CPU或顯卡進行挖掘,他們還用各種間諜軟體功能來補足他們的病毒程序。 例如,有些挖礦病毒可以竊取加密錢包文件、社交網路的數據或信用卡數據。 此外,在這種攻擊之後,你的電腦將變得非常脆弱且不安全。
挖礦病毒如何工作?
工作原理非常簡單。該程序執行一個隱藏的挖礦啟動操作,並將該電腦/手機設備連接到一個礦池。這些操作會嚴重佔用設備的處理器,為欺詐者獲取未經授權的「免費」計算能力,欺詐者直接將「免費算力」掙來的加密貨幣放入自己的錢包。
(任務管理器中的隱藏挖礦進程)
礦池是創建此類「僵屍網路」的理想方式, 因為大多數礦池支持無限數量的用戶連接到相同的地址,而他們的所有權關系不需要證明。在連接到數百台計算機之後,黑客就可以享受相當不錯的收入,並使用大礦場的服務。
挖礦病毒如何傳播以及如何檢測?
通常,挖礦病毒通過以下方式進入計算機:
1. 從互聯網下載文件
黑客們找到許多方法來發布他們的程序並將其嵌入一些可疑的網站。種子(Torrents)是病毒傳播的一種常見方式。
2. 與被病毒入侵的設備物理接觸
比如其他人的快閃記憶體驅動器和其他硬體存儲設備被挖礦病毒入侵後,接入了你的設備中。
3. 未經授權的遠程訪問
經典的遠程黑客攻擊也是通過這種方式進行的。
4. 還有很多人會通過「感染」整個辦公室的電腦來試圖在工作中使用隱藏挖礦軟體
某些情況下,黑客還會通過Telegram傳播他們的軟體。也許你以為下載了100%安全的軟體( 游戲 、補丁、工具等),但在更新過程中還是有可能會被入侵。
挖礦病毒的「隱匿」途徑
有時,幾乎不可能檢測到挖礦病毒,隱藏挖礦病毒有三種常見方法:
1. 病毒作為一種服務
在這種情況下,你不會看到任何單獨的進程任務管理器。一些svchost.exe將使用系統資源,但卻是絕對合法的系統進程。如果你停用它們,很可能你的電腦就會停止工作。
在這種情況下該怎麼辦? 可以通過msconfig.exe搜索名稱可疑的服務,但還有一種更有效的方法–使用Process Explorer免費軟體。
2. 適度消耗,緩慢開采
在這種情況下,該病毒軟體並非設計用於快速加密貨幣挖掘,而是用於確保挖礦病毒的最長生存期。這樣的軟體不會吞噬所有可用的系統資源,而是會適度地消耗它們。
同時,如果啟動了一些佔用大量資源的程序,該病毒將停止運行,以免降低操作系統的速度並使檢測復雜化。先進的挖礦病毒甚至監視風扇速度(fan speed),以免由於過度使用計算能力而導致系統過載。由於某些病毒在任務管理器被打開時停止工作,因此不太可能以這種方式檢測到它們。
3. 內核型(Rootkit)挖礦病毒是最復雜的惡意軟體類型
任務管理器和最有效的防病毒軟體都無法檢測到這種類型的挖礦病毒。那麼如何發現呢?關鍵是,這類病毒必須與礦池保持持續聯系。如果處於空閑模式,普通計算機實際上是無法訪問互聯網的。當你注意到你的電腦自己連網了,可能是被挖礦病毒入侵了。這時候你可以向專家求助。
如何刪除挖礦病毒?
您可以很容易地檢測到一個簡單的挖礦病毒:打開任務管理器,找到任何使用超過20%的CPU功率的任務,很可能就是一個「隱藏的礦工」。你所要做的就是結束該任務進程。
如果你認為你的電腦被惡意軟體污染了,你應該用最新版本的加密病毒掃描器進行掃描,如Reimage或SpyHunter 5。這樣的工具一般可以立即檢測並清除挖礦病毒。此外,專家建議使用Dr. Web、CureIT和Malwarebytes的反惡意軟體解決方案。
(MalwareBytes方案)
一定要常常檢查系統,注意電腦運行速度的變化。如果你的電腦上有一個比特幣病毒,你可以順便看看有沒有其他附帶病毒——消除它們,以防止敏感信息丟失。
如何預防挖礦病毒?
同時採取以下幾項措施將有效預防挖礦病毒的入侵:
· 安裝並定期更新殺毒軟體,時不時檢查系統中可疑的程序;
· 讓操作系統保持最新;
· 注意下載和安裝的東西。病毒通常隱藏在被黑的軟體中,免費軟體往往是「重災區」;
· 不要訪問沒有SSL證書的網站;
· 嘗試一些特定的軟體。有一些插件可以非常有效地保護你的瀏覽器不受隱藏挖礦的影響,比如MinerBlock、反webminer和Adblock Plus等等;
· 定期備份。如果你的設備意外感染了挖礦病毒,您可以通過將系統回滾到最新的「 健康 」版本來消除它。
總之,和其他惡意軟體一樣,當用戶的電腦沒有採取足夠的安全措施時,挖礦病毒就會入侵。時常注意下載的文件、訪問的網站和使用的設備。如果注意到電腦性能嚴重下降,就要看看是不是有人在偷偷用你的電腦挖礦了。
本文轉載自:頭等倉區塊鏈研究院
作者:頭等倉(First.VIP)_Maggie
⑹ 電腦中了挖礦病毒
方法/步驟
首先,如果是菜鳥寫出的病毒,大家可以太任務管理器中,找到該文件路徑,直接終結進程樹,或直接找到路徑刪除即可。
2/6
第二,如果對方技術夠本,我們很難終結進程,那麼,我們可以下載一個電腦管家,現在的電腦管家也增大了挖礦病毒的掃描率,如果查找到直接清理即可。
3/6
第三,如果電腦管家也無法搞定那麼,我們可以avast查殺,這個程序在殺毒方面,簡直是第一,對於挖礦病毒來說,更是猶如利劍。
4/6
第四,如果使用avast之後,我們還懷疑電腦有挖礦病毒的話,我們先打開進程手動把文檔路徑放到隔離區。
5/6
第五,在放到隔離區之後,我們使用avast的放鬆以供分析,然後發給avast的工作員工,備注懷疑是挖礦病毒,對方給我們人工分析,如果是,對方也會幫我們刪除。
6/6
第六,如果在專業堅定之後,我們還有所懷疑的話,如果不是大牛,那麼,大舅就需要重裝電腦了,畢竟,一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)
⑺ 怎樣在進程里看病毒
首先要熟悉常用進程,出現陌生進程你就可以判斷了。
最基本的系統進程(也就是說,這些進程是系統運行的基本條件,有了這些進程,系統就能正常運行):
smss.exe Session Manager
csrss.exe 子系統伺服器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務)
產生會話密鑰以及授予用於互動式客戶/伺服器驗證的服務憑據(ticket)。(系統服務)
svchost.exe 包含很多系統服務
SPOOLSV.EXE 將文件載入到內存中以便遲後列印。(系統服務)
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
附加的系統進程(附加的服務都對安全有害,如果不是必要的應該關掉)(這些進程不是必要的,你可以根據需要通過服務管理器來增加或減少):
mstask.exe 允許程序在指定時間運行。(系統服務)
regsvc.exe 允許遠程注冊表操作。(系統服務)
winmgmt.exe 提供系統管理信息(系統服務)。
inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統服務)
tlntsvr.exe 允許遠程用戶登錄到系統並且使用命令行運行控制台程序。(系統服務) 允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統服務)
tftpd.exe 實現 TFTP Internet 標准。該標准不要求用戶名和密碼。遠程安裝服務的一。
(系統服務)
termsrv.exe 提供多會話環境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話
以及運行在伺服器上的基於 Windows 的程序。(系統服務)
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)
以下服務很少會用到
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統服務) 支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。(系統服務)
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統服務)
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統服務)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多個伺服器間維護文件目錄內容的文件同步。(系統服務)
RsSub.exe 控制用來遠程儲存數據的媒體。(系統服務)
locator.exe 管理 RPC 名稱服務資料庫。(系統服務)
lserver.exe 注冊客戶端許可證。(系統服務)
dfssvc.exe 管理分布於區域網或廣域網的邏輯卷。(系統服務)
clipsrv.exe 支持「剪貼簿查看器」,以便可以從遠程剪貼簿查閱剪貼頁面。(系統服務)
msdtc.exe 並列事務,是分布於兩個以上的資料庫,消息隊列,文件系統,或其它事務保護資源管理器。(系統服務)
faxsvc.exe 幫助您發送和接收傳真。(系統服務)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁碟管理請求的系統管理服務。(系統服務)
mnmsrvc.exe 允許有許可權的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統服務)
netdde.exe 提供動態數據交換 (DDE) 的網路傳輸和安全特性。(系統服務)
smlogsvc.exe 配置性能日誌和警報。(系統服務)
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和本地通信控制安裝功能。(系統服務)
RsEng.exe 協調用來儲存不常用數據的服務和管理工具。(系統服務)
RsFsa.exe 管理遠程儲存的文件的操作。(系統服務)
grovel.exe 掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向一個數據存儲點,以節省磁碟空間。(系統服務)
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務)
snmp.exe 包含代理程序可以監視網路設備的活動並且向網路控制台工作站匯報。(系統服務)
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息,然後將消息傳遞到運行在這台計算機上 SNMP 管理程序
。(系統服務)
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統服務)
msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟體。(系統服務)
詳細說明:
win2k運行進程
Svchost.exe
Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL 值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
explorer.exe
這是一個用戶的shell(我實在是不知道怎麼翻譯shell),在我們看起來就像任務條,桌面等等。這個進程並不是像你想像的那樣是作為一個重要的進程運行在windows中,你可以從任務管理器中停掉它,或者重新啟動。通常不會對系統產生什麼負面影響。
internat.exe
這個進程是可以從任務管理器中關掉的。
internat.exe在啟動的時候開始運行。它載入由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 載入內容的。internat.exe 載入「EN」圖標進入系統的圖標區,允許使用者可以很容易的轉換不同的輸入點。當進程停掉的時候,圖標就會消失,但是輸入點仍然可以通過控制面板來改變。
lsass.exe
這個進程是不可以從任務管理器中關掉的。
這是一個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。
mstask.exe
這個進程是不可以從任務管理器中關掉的。這是一個任務調度服務,負責用戶事先決定在某一時間運行的任務的運行。
smss.exe
這個進程是不可以從任務管理器中關掉的。這是一個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動,包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變數作出反映。在它啟動這些進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止響應(就是掛起)。
spoolsv.exe
這個進程是不可以從任務管理器中關掉的。 緩沖(spooler)服務是管理緩沖池中的列印和傳真作業。
service.exe
這個進程是不可以從任務管理器中關掉的。大多數的系統核心模式進程是作為系統進程在運行。
System Idle Process
這個進程是不可以從任務管理器中關掉的。這個進程是作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。
winlogon.exe
這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。
winmgmt.exe
winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化
taskmagr.exe
這個進程就是任務管理器
⑻ 如何查看電腦是否被植入了挖礦程序
如何判斷自己的電腦是否被挖礦,怎樣預防?
電腦開機後,所有程序都不打開的情況下。按Ctrl+ALT+Del調出任務管理器,在「進程」卡項中,查看CPU的使用情況。如果看到某個進程佔用了大量的cpu使用情況,並且幾分鍾後都沒有降低的趨勢,這個程序就可能是病毒了。
想要預防自己的電腦被挖礦也很簡單,只要安裝正規的安全軟體,使用安全的瀏覽器,添加安全合適的插件,就可以防止電腦被挖礦了。
當然,如果不瀏覽不正規不健康的網站,不下載盜版游戲,盜版軟體等就更能從根源杜絕電腦被不法分子挖礦的風險。
⑼ 中挖礦病毒的表現
故障現象:使用過程中,發現經常有服務無故關閉,登錄伺服器經檢查,發現CPU使用率達到100%。在檢測異常進程中,未發現CPU使用率異常的進程(使用 top、htop 以及 ps -aux 進行檢查),於是報障。
檢測過程:
1.找到他shell腳本對應目錄把目錄或者文件刪除。
2.檢查定時任務是否存在挖礦木馬文件在定時任務中,避免定時運行挖礦木馬文件。
3.添加hosts挖礦病毒訪問對應網站,避免二次訪問並下載。
4.排查liunx命令是否損壞,如損壞下載"procps-3.2.8"並編譯,恢復top等系列命令。
5.檢測進程是否異常。
6.排查入侵入口,例如 redis是否存在弱口令,nginx或者apache上面的網站程序是否存在漏洞,並排查下nginx或者apache日誌審查漏洞所在處。
7.排查ssh登錄日誌。
8.把ssh登錄切換成秘鑰登錄。
9.重啟伺服器,檢查是否進程是否正常。
⑽ 怎麼查看電腦有沒有挖礦病毒
中挖礦病毒有以下幾種顯著的表現:
1.電腦異常運行緩慢
2.電腦異常死機/卡機
3.什麼都沒打開但是cpu佔用率非常高
4.網路緩慢,出現大量網路請求