挖礦軟體提示病毒

『壹』 電腦中了挖礦病毒

方法/步驟
首先，如果是菜鳥寫出的病毒，大家可以太任務管理器中，找到該文件路徑，直接終結進程樹，或直接找到路徑刪除即可。

2/6
第二，如果對方技術夠本，我們很難終結進程，那麼，我們可以下載一個電腦管家，現在的電腦管家也增大了挖礦病毒的掃描率，如果查找到直接清理即可。

3/6
第三，如果電腦管家也無法搞定那麼，我們可以avast查殺，這個程序在殺毒方面，簡直是第一，對於挖礦病毒來說，更是猶如利劍。

4/6
第四，如果使用avast之後，我們還懷疑電腦有挖礦病毒的話，我們先打開進程手動把文檔路徑放到隔離區。

5/6
第五，在放到隔離區之後，我們使用avast的放鬆以供分析，然後發給avast的工作員工，備注懷疑是挖礦病毒，對方給我們人工分析，如果是，對方也會幫我們刪除。

6/6
第六，如果在專業堅定之後，我們還有所懷疑的話，如果不是大牛，那麼，大舅就需要重裝電腦了，畢竟，一裝百物清。
網路經驗:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望採納謝謝(≧∇≦)

『貳』 挖礦病毒是一段代碼或者一個軟體

「挖礦」病毒是一段代碼或者一個軟體，偽裝成一個正常文件進入受害者的電腦。
病毒利用主機或者操作系統的高危漏洞，並結合高級攻擊技術在區域網內傳播，控制電腦進行大量的計算機運算來獲取虛擬貨幣。「挖礦」病毒會消耗大量的計算機處理資源。

『叄』 LTC挖礦軟體cgminer內有木馬怎麼辦

你這個軟體就說明帶有木馬呀
Trojan一詞的特洛伊木馬本意是特洛伊的，指特洛伊木馬，是木馬計的故事
如果電腦中了木馬建議盡快殺毒以免造成系統問題
可以先做一次全盤殺毒
然後針對性的：
騰訊電腦管家--工具箱--木馬剋星
最後開啟實時防毒保護。

『肆』 我中挖礦病毒了，怎麼辦

只要是病毒肯定就可以刪除
這種病毒屬於頑固病毒的一種得需要到安全模式下殺毒
殺毒軟體選擇也很重要，得選擇有針對這種病毒的專殺工具才行，可以使用電腦管家殺毒。

『伍』 挖礦病毒

自從比特幣火起來以後，運維和安全同學就經常受到挖礦病毒的騷擾，如果有人說機器cpu被莫名其妙的程序佔用百分之八十以上，大概率是中了挖礦病毒。

說說挖礦病毒的幾個特點：

一、cpu佔用高，就是文中一開始所說的，因為挖礦病毒的目的就是為了讓機器不停的計算來獲利，所以cpu利用率都會很高。

二、進程名非常奇怪，或者隱藏進程名。發現機器異常以後，使用top命令查看，情況好的能看到進程名，名字命名奇怪，我見過的linux上中毒的是以. exe命名的程序。對於隱藏進程名這種情況，找起來就更加費事了，需要查看具備linux相關的系統知識。

三、殺死後復活，找到進程之後，用kill命令發現很快就會復活，挖礦病毒一般都有守護進程，要殺死守護進程才行。

四、內網環境下，一台機器被感染，傳播迅速，很快會感染到其他機器。

挖礦病毒的防禦

挖礦病毒最好的防禦重在平時安全規范，內網機器不要私自將服務開放到公司，需要走公司的統一介面，統一介面在請求進入到內網之前，會有安全措施，是公司入口的第一道安全門。還有就是公司內網做好隔離，主要是防止一個環境感染病毒，擴散到全網。

對於已經感染的情況，可以通過dns劫持病毒訪問的域名，公網出口過濾訪問的地址，這些手段是防止病毒擴大的手段，對於已經感染的機器，只能通過開始講的幾種方法找到並殺死病毒了。

『陸』 中挖礦病毒的表現

故障現象：使用過程中，發現經常有服務無故關閉，登錄伺服器經檢查，發現CPU使用率達到100%。在檢測異常進程中，未發現CPU使用率異常的進程（使用 top、htop 以及 ps -aux 進行檢查），於是報障。

檢測過程：

1.找到他shell腳本對應目錄把目錄或者文件刪除。

2.檢查定時任務是否存在挖礦木馬文件在定時任務中，避免定時運行挖礦木馬文件。

3.添加hosts挖礦病毒訪問對應網站，避免二次訪問並下載。

4.排查liunx命令是否損壞，如損壞下載"procps-3.2.8"並編譯，恢復top等系列命令。

5.檢測進程是否異常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的網站程序是否存在漏洞，並排查下nginx或者apache日誌審查漏洞所在處。

7.排查ssh登錄日誌。

8.把ssh登錄切換成秘鑰登錄。

9.重啟伺服器，檢查是否進程是否正常。

『柒』 記一次解決挖礦病毒的過程（sysupdate、networkservice）

我也是有一段時間伺服器變的很卡，那時我還以為是我自己的軟體裝太多導致的問題，不看不知道，看了嚇一跳，伺服器已經被攻擊了，接下來，我來分享下如何查找和解決這個病毒。

當發現伺服器卡的時候，我們可以採用top命令，如下顯示

我們注意看以上這幾個進程，沒稍加註意的話，我們還以為這幾個是正常的進程，為啥呢？

1、畢竟這幾個的user是apache、www、nobody，因為我的web站點，文件目錄是www目錄，所以這個地方很容易被誤認為就是我們的站點目錄，而且apache本來是web服務，它取成了這個名詞，也容易混淆我們的視野。
2、後面的command名稱取成了networkservice 和sysupdate，名稱很像我們的系統進程，
3、每個進程的cpu佔用都比較小，平均差不多20%個cpu，可是這么多進程加起來，CPU佔用就爆炸了，將近100%了

從上面這個地方可以發現這個攻擊者很聰明，懂得用這種名稱來混淆我們的視野

從上面的top命令知道了這幾個佔用比較大的進程號，我們可以根據其中的某個進程，比如7081入手，來查找其他關聯的進程，使用以下命令，如下圖所示

進入到/etc目錄下，
我們可以看到有sysupdate、networkservice、sysguard三個文件，這三個文件都是二進制文件，這三個應該就是挖礦的主程序和守護程序。還有一個update.sh文件，這應該是對挖礦病毒升級用的。這個update.sh怎麼找出來的呢，其實是通過定時程序裡面的cron找出來的。

再進入到 /var/spool/cron看下定時程序
如下圖所示

可以看到這幾個文件名稱，和剛剛佔用cpu高的進程user，名稱是一樣的

這樣就可以確認的確是病毒攻擊了伺服器

1、刪除所有的定時程序
進入到/etc/crontab、/var/spool/cron/root、/var/spool/cron/crontabs/root等目錄中，刪除其中的定時腳本。
也要記得刪除定時任務，crontab -e，刪除其中的腳本

2、殺掉進程，並刪除文件
以下這幾張圖片的進程id，分別進行kill殺掉

然後刪除/etc下面的 sysupdate、networkservice、sysguard、update.sh和config.json幾個文件
這時候，你可能會發現無法刪除，因為病毒使用了chattr +i 命令，使用如下命令即可刪除

每個無法刪除的文件，都執行如上命令，即可實現刪除文件

3、/root/.ssh/authorized_keys 刪除
可能攻擊者已經在這里配置了登陸，攻擊者可以隨便登陸你的伺服器，你這里要把秘鑰也修改下
經過這些處理後，可以發現我們的伺服器已經不再卡了，如下，沒有佔用高的程序了

轉自： https://www.jianshu.com/p/b99378f0cf8f

『捌』 伺服器中 kdevtmpfsi 挖礦病毒

伺服器CPU飆升到100%，發現可以進程 kdevtmpfsi
網上查資料，是因為 redis 漏洞引起的，但伺服器上並沒有裝 redis，後來再國外的網站查到可能是因為 laravel 的版本引起的
https://stackoverflow.com/questions/60151640/kdevtmpfsi-using-the-entire-cpu

這個進程以及相關進程，都是運行在 www 用戶下，並且會加上一個定時任務

解決辦法：
1、刪除定時任務
看是否有 www 的定時任務，如果有的話，刪除並且放一個佔位文件，讓病毒無許可權修改

2、刪除病毒文件

並且放一個假文件在 tmp 目錄（用處不大，病毒會自己改名，加後綴）

3、殺進程

4、升級 laravel
把 ignition 升級到 2.5.1 以上

5、阻止 IP 訪問。病毒會去下面這兩個IP讀腳本下來

『玖』 挖礦病毒怎麼排查

登錄系統查看任務管理器，查看佔用內存較大且無法關閉的進程。進程上點擊滑鼠右鍵，打開文件位置（先要在文件夾選項中選擇顯示隱藏文件及操作系文件）。此時你可能會看到有一個Systmss.exe進程和模仿操作系統的svchost.exe進程這里還可以看到一個2.bat文件，右鍵編輯打開這個文件查看，可查看到惡意進程與哪個挖礦組織通信。

通過查看系統操作日誌可分析出病毒的來源、啟動時間等信息，一般原因可能是未關閉3389埠且使用了弱密碼導致黑客遠程登錄上次病毒。

根除病毒：將病毒可執行文件Systmss.exe重命名為Systmss.exe1使病毒無法執行，此時可從任務管理器停止進程。打開注冊表編輯器刪除HKEY_LOCAL_整個目錄。

如果是Linux系統請參考：網頁鏈接

『拾』 計算機病毒調查：越來越多惡意挖礦軟體被安裝在物聯網設備上

光明網天津9月16日電 （記者 李政葳）在2019年國家網路安全宣傳周期間，國家計算機病毒應急處理中心發布的「第十八次計算機病毒和移動終端病毒疫情調查報告」顯示，2018年我國計算機病毒感染率和移動終端病毒感染率均呈上升態勢。其中，網路安全問題呈易變性、不確定性、規模性和模糊性等特點，網路安全事件發生成為大概率事件，信息泄漏、勒索病毒等重大網路安全事件時有發生。

報告顯示，雲主機成為挖取門羅幣、以利幣等數字貨幣的主要利用對象，「雲挖礦」悄然興起。惡意挖礦技術提升明顯，產業也趨於成熟，惡意挖礦家族通過相互之間的合作使受害計算機和網路設備價值被更大程度壓榨，給安全從業者帶來更大挑戰；同時，越來越多的惡意挖礦軟體被安裝在網路和物聯網設備上，影響設備性能的同時，也易形成僵屍網路，對整個互聯網的安全構成威脅。

報告還提到，數據的重要價值越發凸顯，信息泄露事件呈常態化，企業對數據的流向和使用許可權監管薄弱，導致目前數據被第三方插件濫用的情況嚴重。隨著移動互聯網發展，萬物互聯的未來逐漸清晰，智能設備的生產過程中通常有大量第三方參與，而這些第三方由於發展迅速導致能力缺失，往往存在開發質量存疑、安全性能無法保障等問題。

另外，報告顯示，移動互聯網應用形態更加豐富，各類App已全面融入所有互聯網業態，移動互聯網生態環境日益復雜，與移動互聯網相關的新型網路違法犯罪日益突出。在公安部的指導下，國家計算機病毒應急處理中心將進一步加強對移動App與SDK的檢驗檢測，健全完善舉報與企業自律工作機制，對發現的問題及時予以曝光，有效凈化行業環境。