挖矿病毒手动清除

❶ LTC挖矿软件cgminer内有木马怎么办

你这个软件就说明带有木马呀
Trojan一词的特洛伊木马本意是特洛伊的，指特洛伊木马，是木马计的故事
如果电脑中了木马建议尽快杀毒以免造成系统问题
可以先做一次全盘杀毒
然后针对性的：
腾讯电脑管家--工具箱--木马克星
最后开启实时防毒保护。

❷ 电脑被挖矿怎么办

电脑被挖矿是一种恶意程序袭击，矿工程序会利用电脑的计算能力来挖掘加密货币，从而盗取计算能力。这种攻击会消耗大量的计算能力和电力资源，导致电脑运行缓慢，且危害性很大。如果你的电脑被挖矿了，那么你应该采取以下步骤来解决：

1. 扫描病毒
首先，你需要运行杀毒软件来扫描病毒。杀毒软件可以识别和清除矿工程序和其他恶意软件。如果你没有安装杀毒软件，那么你需要安装一个来保护你的电脑。注意，你需要定期更新你的杀毒软件，以便保持其最新的病毒定义。
2. 查找并停止进程
一旦杀毒软件检测到病毒，你需要手动查找并停止相关的进程。进程可以通过任务管理器或其他进程管理工具来查找。一旦找到了矿工程序的进程，你需要停止它，以防止其继续消耗你的计算能力。
3. 更改密码
如果你的电脑被攻击，那么有可能是因为你的密码被盗，或者你的电脑安全措施不足。所以，你需要更改你的密码，并提高你的安全措施，包括解锁你的防火墙和关闭远程桌面连接等。
4. 更新软件
矿工程序和其他恶意软件通常会利用安全漏洞来攻击你的电脑。要避免这种情况，你需要定期更新你的软件和系统。更新可以修复已知的安全漏洞。
5. 备份数据
最后，你需要备份你的数据。备份可以保护你的重要文件和数据免受损坏和丢失。你可以将数据备份到云存储或外部存储器中。
总结
电脑被挖矿是一种常见的恶意程序攻击，它会危及你的计算能力和电力资源。如果你的电脑被攻击，你需要运行杀毒软件来扫描病毒，并找到并停止相关的进程。你还需要更改你的密码，更新你的软件和系统，并备份你的数据。以上这些步骤可以帮助你解决电脑被挖矿的问题，以帮助你保护你的电脑和数据。

❸ WannaMine挖矿木马手工处理

关于病毒及木马的问题，都说老生常谈的了，这里就不讲逆向分析的东西，网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实，很多时候都被问的烦了。

WannaCry勒索与WannaMine挖矿，虽然首次发生的时间已经过去很久了，但依旧能在很多家内网见到这两个，各类杀毒软件依旧无法清除干净，但可以阻断外联及删除病毒主体文件，但依然会残留一些。此种情况下，全流量分析设备依旧可以监测到尝试外联，与445端口扫描行为。

WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后，仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。

WannaMine 全系使用“永恒之蓝”漏洞，在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。

下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。

WannaMine2.0版本

该版本释放文件参考如下：
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 删除系统服务名与DLL文件对应的wmassrv。

WannaMine3.0版本

该版本释放文件参考如下：

C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll

需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine4.0版本

该版本释放文件参考如下：

C:WindowsSystem32 dpkax.xsl

C:WindowsSystem32dllhostex.exe

C:.dll

C:.dll

C:WindowsSysWOW64dllhostex.exe

C:WindowsNetworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分：Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀：xml、log、dat、xsl、ini、tlb、msc</pre>

关于Windows下计划任务与启动项查看方式，建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下，可以到注册表下查看。

注册表下排查可疑的计划任务

HKEY_LOCAL_

发现可疑项可至tasks下查看对应ID的Actions值

HKEY_LOCAL_ asks[图片上传失败...(image-e8f3b4-1649809774433)]

计划任务文件物理目录
C:

新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击，Autoruns可以用来检查WMI与启动项并进行删除，在手动删除病毒相关计划任务与启动项时，记得删除相应的文件与注册表ID对应项。

注册表下查看开机启动项
HKEY_CURRENT_或runOnce [图片上传失败...(image-8a357b-1649809774432)]

❹ 解决挖矿病毒的经历

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果，很快就会自动恢复
排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）
执行 TOP命令，CPU占用正常。
平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本

❺ 手机如何清除挖矿木马

下载杀毒软件，比如手机安全卫士，进行杀毒清理，然后重启手机就可以了。