挖矿病毒systmss
『壹』 电脑病毒删不掉怎么办 如何彻底删除电脑病毒
抱歉,我来晚了,做系统安全维护多年了。 说点干货。
病毒删不掉,或者删掉后又复活,一般称之为顽固病毒。
比如常见的顽固病毒:1.挖矿病毒(后台吃CPU和显卡)2,ddos病毒(利用电脑的线程做任务)3,远程控制病毒(盗取资料,窃听隐私等)4.蠕虫病毒(感染文件等后门) 。。。。。。 很多。
解决方法(需要懂点计算机技术):每个顽固病毒背后都有一个核心的母体病毒,也就是母体如果不处理,那么表面上的病毒,即便删除,也会自动繁衍。
所以,根除顽固病毒,我一般的方法就是,新建一个txt文本(或者16进制二进制查看器),把病毒拖进去,看看具体代码,一般核心代码部分是可以看到的,一般就能定位到具体感染系统的哪个文件夹的哪个程序,一般都在windows/system32(64). 然后用云查杀,看看到底有没有病毒,如果有,把他删掉之后,也就是根除顽固了。 不知道你是哪种类型的病毒,你可以拍照一下,因为我经常远程处理各种计算机病毒,我看一下就知道用什么方法了。
『贰』 服务器上如何清除NrsMiner挖矿病毒
挖矿病毒完整清除过程如下,请在断网情况下进行:
1.停止并禁用Hyper-VAccess Protection Agent Service服务;
2.删除C:Windowssystem32NrsDataCache.tlb;
3.删除C:.dll,若删除失败,可重命名该文件为其他名称;
4.重启计算机;
5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录;
6.删除C:Windowssystem32SecUpdateHost.exe。
7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安装国内主流杀毒软件,及时更新至最新病毒特征库。
『叁』 比特币病毒入侵,有什么好的办法防治吗
比特币病毒是一种敲诈病毒,该病毒是通过远程对感染者的电脑文件加密,从而向这台感染电脑的用户索要加密用户电脑文件,从而向用户勒索赎金,用户文件只能在支付赎金后才能打开。它运用的是4096位算法,这种算法,普通电脑需要几十万年才能破解出来,超级电脑破解所需时间也可能得按年计算,国内外尚无任何机构和个人能够破解该病毒,支付赎金是恢复文件的唯一办法。说通俗一点,该病毒像一个拥有金刚不坏之身的抢劫者,路上的人们都是他的攻击对象,而警察却不能制服他。
那么我们该如何防止它,避免让自己的电脑中招呢?
今后养成定期备份自己电脑中的重要文件资料到移动硬盘、U盘,备份完后脱机保存该磁盘。这样随你删,删完之后我还有~
要养成不明链接不要点击,不明文件不要下载,不明邮件不要打开的好习惯。
安装最新的安全补丁,各大网络平台都可以找到
关闭445、135、137、138、139端口,关闭网络共享。win10重启后,微软会自动处理这个漏洞。win7可以打开360卫士、电脑管家等,进行漏洞补丁的修复;而以被流放的XP 的用户就只能自己手动关闭455端口了。
如何关闭455端口?
在控制面板中找到Windows防火墙,开启防火墙,进入防火墙的高级设置,在“入站规则”中新建一条规则,本地端口号选择445,操作选择阻止连接。其他端口号也是同样的方法。
最后祝大家好运~
『肆』 怎么取消one system care
1、在有360安全卫士的windows电脑,启动360安全卫士,进行全盘木马查杀。
『伍』 WannaMine挖矿木马手工处理
关于病毒及木马的问题,都说老生常谈的了,这里就不讲逆向分析的东西,网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实,很多时候都被问的烦了。
WannaCry勒索与WannaMine挖矿,虽然首次发生的时间已经过去很久了,但依旧能在很多家内网见到这两个,各类杀毒软件依旧无法清除干净,但可以阻断外联及删除病毒主体文件,但依然会残留一些。此种情况下,全流量分析设备依旧可以监测到尝试外联,与445端口扫描行为。
WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。
WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。
下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。
WannaMine2.0版本
该版本释放文件参考如下:
C:
C:Windowssystem32wmassrv.dll
C:.dll
C:WindowsSystem32EnrollCertXaml.dll 删除系统服务名与DLL文件对应的wmassrv。
WannaMine3.0版本
该版本释放文件参考如下:
C:.xmlC:WindowsAppDiagnosticsC:WindowsSystem32TrustedHostex.exeC:WindowsSystem32snmpstorsrv.dll
需删除主服务snmpstorsrv与UPnPHostServices计划任务
WannaMine4.0版本
该版本释放文件参考如下:
C:WindowsSystem32 dpkax.xsl
C:WindowsSystem32dllhostex.exe
C:.dll
C:.dll
C:WindowsSysWOW64dllhostex.exe
C:WindowsNetworkDistribution
<pre style="margin: 0px; padding: 0px; white-space: pre-wrap !important; overflow-wrap: break-word !important; max-width: 98%;">文件名随机组合参考• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application •第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP •第三部分:Service、Host、Client、Event、Manager、Helper、System •rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc</pre>
关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。
注册表下排查可疑的计划任务
HKEY_LOCAL_
发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_ asks[图片上传失败...(image-e8f3b4-1649809774433)]
计划任务文件物理目录
C:
新变种病毒有依靠 WMI 类属性存储 ShellCode 进行攻击,Autoruns可以用来检查WMI与启动项并进行删除,在手动删除病毒相关计划任务与启动项时,记得删除相应的文件与注册表ID对应项。
注册表下查看开机启动项
HKEY_CURRENT_或runOnce [图片上传失败...(image-8a357b-1649809774432)]
『陆』 电脑被xmr-eu2.nanopool.org:14433占用资源是怎么回事
在(2)这个进程上右键,打开文件位置,看看能不能找到这个(2).exe的程序文件。如果能的话,就在任务管理器右键结束进程,然后删除这个(2)的文件。
建议不要关闭防火墙、defender等自带杀毒软件。也不要关闭windows的访问通知权限。这样就不会被这些奇怪的病毒或垃圾程序困扰。
『柒』 win7小马激活工具脚本
win7小马激活工具脚本(win7激活工具 小马)一、Windows Loader捕获到一个伪装成激活软件WindowsLoader的病毒样本。经分析,该样本并没有激活功能,其主要功能是安装广告软件以及挖矿程序。
挖矿程序会拉起系统进程并在其中注入挖矿代码,并循环监控taskmgr.exe进程,如果检测到 taskmgr.exe进程则终止挖矿,使得受害者比较难以察觉。
1 病毒母体 病毒母体图标伪装成Windows Loader:
其实是用CreateInstall制作的安装包:
安装界面:
释放如下几个文件到C:\Program Files (x86)\KMSPico 10.2.1 Final目录并运行脚本 WINLOADER_SETUP.BAT。
WINLOADER_SETUP.BAT依次运行WindowsLoader.exe、Registry_Activation_2751393056.exe和 activation.exe。
WindowsLoader.exe与Registry_Activation_2751393056.exe都是广告软件,activation.exe则是挖矿程序。
2 WindowsLoader.exe
首先是WindowsLoader.exe安装界面:
会下载并安装RunBooster:
安装RunBooster服务:
RunBoosterUpdateTask升级任务计划:
RunBooster的抓包行为:
3 Registry_Activation_2751393056.exe
Registry_Activation_2751393056.exe安装界面:
功能存在问题,下载的exe文件没有带后缀名:
4 activation.exe 首先在Local目录下新建cypjMERAky文件夹并将自己拷贝到下面。
添加注册表自启动项。
检测是否存在taskmgr.exe进程。
如果taskmgr.exe进程不存在则拉起系统进程wuapp.exe,参数为" -a cryptonight -o stratum+tcp://xmr.pool.minergate.com:45560 [email protected] -p x -t 2"。
将挖矿程序注入到wuapp.exe进程。
挖矿程序为开源的cpuminer-multi 1.2-dev。
电脑
进入循环,守护注册表自启动项,并检测taskmgr.exe进程,如果检测到则终止wuapp.exe。
二、小马激活
"小马激活"病毒的第一变种只是单纯地在浏览器快捷方式后面添加网址参数和修改浏览器首页的注册表项,以达到首页劫持的目的。由于安全软件的查杀和首页保护功能,该版本并没有长时间流行太长时间。其第二变种,在原有基础上增强了与安全软件的对抗能力。
由于其作为"系统激活工具"具有入场时间较早的优势,使用驱动与安全软件进行主动对抗,使安全软件无法正常运行。在其第三个变种中,其加入了文件保护和注册表保护,不但增加了病毒受害者自救的难度,还使得反病毒工程师在处理用户现场时无法在短时间之内发现病毒文件和病毒相关的注册表项。其第四个变种中,利用WMI中的永久事件消费者(ActiveScriptEventConsumer)注册恶意脚本,利用定时器触发事件每隔一段时间就会执行一段VBS脚本,该脚本执行之后会在浏览器快捷方式后面添加网址参数。该变种在感染计算机后,不会在计算机中产生任何文件,使得病毒分析人员很难发现病毒行为的来源,大大增加了病毒的查杀难度。通过如下表格我们可以更直观的了解其发展过程:
电脑
通过我们近期接到的用户反馈,我们发现了"小马激活"病毒的新变种。该变种所运用的对抗技术十分复杂,进一步增加了安全软件对其有效处理的难度,甚至使得病毒分析人员通过远程协助处理用户现场变得更困难。这个"小马激活"病毒的最新变种运行界面如下:
2 样本分析
该病毒释放的驱动文件通过VMProtect加壳,并通过过滤驱动的方式拦截文件系统操作(图2),其目的是保护其释放的动态库文件无法被删除。通过文件系统过滤驱动,使得系统中的其他进程在打开该驱动文件句柄时获得的是tcpip.sys文件的句柄,如果强行删除该驱动文件则会变为删除tcpip.sys文件,造成系统无法正常连接网络。我们通过下图可以看到火绒剑在查看文件信息时,读取的其实是tcpip.sys文件的文件信息。由于此功能,使得病毒分析人员无法在系统中正常获取该驱动的样本。
该驱动通过注册关机回调在系统关机时该驱动会将自身在%SystemRoot%\System32\Drivers目录重新拷贝成随机名字的新驱动文件,并将驱动信息写入注册表,以便于下一次时启动加载。在驱动加载之
后,其会将locc.dll注入到explorer.exe进程中。该驱动对locc.dll文件也进行了保护,当试图修改或者删除该动态库时,会弹出错误提示"文件过大"。
当病毒的驱动将locc.dll注入到explorer.exe进程后会执行首页劫持相关逻辑。通过火绒剑的内存转储,我们可以看到该病毒锁定的所有网址。
l l l l l l l l l l l l l l l l l
通过抓取上述网址中的网页信息,我们可以发现上述网址中存放的其实是一个跳转页。通过使用跳转页面,病毒作者可以灵活调整计费链接和推广网址,并且对来自不同浏览器的流量进行分类统计。
三、解决方案
(1) 不从不明网站下载软件,不要点击来源不明的邮件以及附件;
(2) 及时给电脑打补丁,修复漏洞;
(3) 尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等;
(4) 安装专业的终端/服务器安全防护软件,深信服EDR能够有效查杀该病毒。
探讨渗透测试及黑客技术,请关注并私信我。#小白入行网络安全# #安界网人才培养计划#
『捌』 挖矿病毒分析(centos7)
rm -rf /root/.ssh/*
如果有配置过密钥认证,需要删除指定的黑客创建的认证文件即可。
ls /proc/10341 查看进程文件
该脚本执行了 /xm 脚本,并且总是会重启服务。如果此程序不进行清除,即使杀死了对应的进程,过一会还是会执行重新创建,又导致服务器异常。
因此,先停止启动脚本配置项:
systemctl disable name.service
删除脚本:
rm -rf /etc/systemd/system/xm.service
5,启动脚本删除完后,删除相应的程序
ps -ef|grep xmrig
ps -ef|grep javs
kill 9 pid
ls /proc/10341