挖矿病毒怎么在进程上看

⑴ 怎样看电脑是否中了挖矿病毒

安装杀毒软件，挖矿病毒会占用你的硬件使用率，打开任务管理器观察CPU和显卡的使用率，如果待机时使用率长时间占用严重，就可以怀疑中了挖矿病毒了。

⑵ 在进程里怎么看有没有病毒

您好

1，因为木马病毒都是具有伪装性和隐藏性的，所以判断起来非常困难，除非是明显的，重复进程，容易被发现。

2，最好的办法就是到腾讯电脑管家官网下载一个电脑管家。

3，然后打开电脑管家——杀毒——全盘查杀，检测一下。

4，电脑管家拥有自主研发的管家第二代鹰眼智能反病毒引擎，采用了新一代的机器学习技术，能够帮助您精准查杀各种流行顽固木马，维护电脑正常运行。

如果还有其他疑问和问题，欢迎再次来电脑管家企业平台进行提问，我们将尽全力为您解答疑难

⑶ 阿里云windows服务器中了挖矿的病毒怎么清理

光删除没用的，因为没有解决好漏洞。
建议是重做系统，然后找护卫神给你做一下系统安全加固，把漏洞彻底堵住才有效果。

⑷ 如何从进程查看是否中了病毒和木马

这需要大量的进程和windows系统知识，而且有些正常的进程里也可能注入了
木马病毒
的程序，高级的木马病毒用rootkit技术可以隐藏进程。。

⑸ 小心！你的电脑可能在帮别人挖矿

卡巴斯基实验室（Kaspersky Lab）数据显示，去年全年被挖矿病毒（CryptoVirus）入侵的计算机和移动设备的数量增加了44.5％。

黑客不再借助加密病毒来勒索钱财——他们只是在你的电脑上植入了一种病毒，瞒天过海。这种加密病毒就是挖矿病毒。它们将对你的设备造成什么伤害？怎样才能甩掉它们？

什么是挖矿病毒？

挖矿病毒简言之就是一段代码或一个软件，可在用户的个人电脑或智能手机上悄悄运行挖矿程序。攻击者可以利用不知情的受害者的计算机来挖掘加密货币。

最常用的挖矿病毒用于获取Monero或ZCash。 还有很多专门用于挖掘小型山寨币的应用程序，因为比起挖比特币而言，挖一些小型山寨币用个人电脑更有效率。此外，这些病毒甚至可以在Android操作系统上运行。也有黑客使用NiceHash和MinerGate的案例。

通常情况下，挖矿病毒的开发者不仅仅局限于在基于CPU或显卡进行挖掘，他们还用各种间谍软件功能来补足他们的病毒程序。 例如，有些挖矿病毒可以窃取加密钱包文件、社交网络的数据或信用卡数据。 此外，在这种攻击之后，你的电脑将变得非常脆弱且不安全。

挖矿病毒如何工作？

工作原理非常简单。该程序执行一个隐藏的挖矿启动操作，并将该电脑/手机设备连接到一个矿池。这些操作会严重占用设备的处理器，为欺诈者获取未经授权的“免费”计算能力，欺诈者直接将“免费算力”挣来的加密货币放入自己的钱包。

（任务管理器中的隐藏挖矿进程）

矿池是创建此类“僵尸网络”的理想方式， 因为大多数矿池支持无限数量的用户连接到相同的地址，而他们的所有权关系不需要证明。在连接到数百台计算机之后，黑客就可以享受相当不错的收入，并使用大矿场的服务。

挖矿病毒如何传播以及如何检测？

通常，挖矿病毒通过以下方式进入计算机：

1. 从互联网下载文件

黑客们找到许多方法来发布他们的程序并将其嵌入一些可疑的网站。种子（Torrents）是病毒传播的一种常见方式。

2. 与被病毒入侵的设备物理接触

比如其他人的闪存驱动器和其他硬件存储设备被挖矿病毒入侵后，接入了你的设备中。

3. 未经授权的远程访问

经典的远程黑客攻击也是通过这种方式进行的。

4. 还有很多人会通过“感染”整个办公室的电脑来试图在工作中使用隐藏挖矿软件

某些情况下，黑客还会通过Telegram传播他们的软件。也许你以为下载了100%安全的软件（ 游戏 、补丁、工具等），但在更新过程中还是有可能会被入侵。

挖矿病毒的“隐匿”途径

有时，几乎不可能检测到挖矿病毒,隐藏挖矿病毒有三种常见方法：

1. 病毒作为一种服务

在这种情况下，你不会看到任何单独的进程任务管理器。一些svchost.exe将使用系统资源，但却是绝对合法的系统进程。如果你停用它们，很可能你的电脑就会停止工作。

在这种情况下该怎么办？ 可以通过msconfig.exe搜索名称可疑的服务，但还有一种更有效的方法–使用Process Explorer免费软件。

2. 适度消耗，缓慢开采

在这种情况下，该病毒软件并非设计用于快速加密货币挖掘，而是用于确保挖矿病毒的最长生存期。这样的软件不会吞噬所有可用的系统资源，而是会适度地消耗它们。

同时，如果启动了一些占用大量资源的程序，该病毒将停止运行，以免降低操作系统的速度并使检测复杂化。先进的挖矿病毒甚至监视风扇速度（fan speed），以免由于过度使用计算能力而导致系统过载。由于某些病毒在任务管理器被打开时停止工作，因此不太可能以这种方式检测到它们。

3. 内核型（Rootkit）挖矿病毒是最复杂的恶意软件类型

任务管理器和最有效的防病毒软件都无法检测到这种类型的挖矿病毒。那么如何发现呢？关键是，这类病毒必须与矿池保持持续联系。如果处于空闲模式，普通计算机实际上是无法访问互联网的。当你注意到你的电脑自己连网了，可能是被挖矿病毒入侵了。这时候你可以向专家求助。

如何删除挖矿病毒？

您可以很容易地检测到一个简单的挖矿病毒：打开任务管理器，找到任何使用超过20%的CPU功率的任务，很可能就是一个“隐藏的矿工”。你所要做的就是结束该任务进程。

如果你认为你的电脑被恶意软件污染了，你应该用最新版本的加密病毒扫描器进行扫描，如Reimage或SpyHunter 5。这样的工具一般可以立即检测并清除挖矿病毒。此外，专家建议使用Dr. Web、CureIT和Malwarebytes的反恶意软件解决方案。

（MalwareBytes方案）

一定要常常检查系统，注意电脑运行速度的变化。如果你的电脑上有一个比特币病毒,你可以顺便看看有没有其他附带病毒——消除它们，以防止敏感信息丢失。

如何预防挖矿病毒？

同时采取以下几项措施将有效预防挖矿病毒的入侵：

· 安装并定期更新杀毒软件，时不时检查系统中可疑的程序；

· 让操作系统保持最新；

· 注意下载和安装的东西。病毒通常隐藏在被黑的软件中，免费软件往往是“重灾区”；

· 不要访问没有SSL证书的网站；

· 尝试一些特定的软件。有一些插件可以非常有效地保护你的浏览器不受隐藏挖矿的影响，比如MinerBlock、反webminer和Adblock Plus等等；

· 定期备份。如果你的设备意外感染了挖矿病毒，您可以通过将系统回滚到最新的“ 健康 ”版本来消除它。

总之，和其他恶意软件一样，当用户的电脑没有采取足够的安全措施时，挖矿病毒就会入侵。时常注意下载的文件、访问的网站和使用的设备。如果注意到电脑性能严重下降，就要看看是不是有人在偷偷用你的电脑挖矿了。

本文转载自：头等仓区块链研究院

作者：头等仓(First.VIP)_Maggie

⑹ 电脑中了挖矿病毒

方法/步骤
首先，如果是菜鸟写出的病毒，大家可以太任务管理器中，找到该文件路径，直接终结进程树，或直接找到路径删除即可。

2/6
第二，如果对方技术够本，我们很难终结进程，那么，我们可以下载一个电脑管家，现在的电脑管家也增大了挖矿病毒的扫描率，如果查找到直接清理即可。

3/6
第三，如果电脑管家也无法搞定那么，我们可以avast查杀，这个程序在杀毒方面，简直是第一，对于挖矿病毒来说，更是犹如利剑。

4/6
第四，如果使用avast之后，我们还怀疑电脑有挖矿病毒的话，我们先打开进程手动把文档路径放到隔离区。

5/6
第五，在放到隔离区之后，我们使用avast的放松以供分析，然后发给avast的工作员工，备注怀疑是挖矿病毒，对方给我们人工分析，如果是，对方也会帮我们删除。

6/6
第六，如果在专业坚定之后，我们还有所怀疑的话，如果不是大牛，那么，大舅就需要重装电脑了，毕竟，一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)

⑺ 怎样在进程里看病毒

首先要熟悉常用进程，出现陌生进程你就可以判断了。
最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标

附加的系统进程(附加的服务都对安全有害，如果不是必要的应该关掉)（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一。
(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话
以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

详细说明：
win2k运行进程
Svchost.exe
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL 值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

explorer.exe
这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。通常不会对系统产生什么负面影响。

internat.exe

这个进程是可以从任务管理器中关掉的。
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

lsass.exe
这个进程是不可以从任务管理器中关掉的。
这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

mstask.exe
这个进程是不可以从任务管理器中关掉的。这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

smss.exe
这个进程是不可以从任务管理器中关掉的。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动,包括已经正在运行的Winlogon,Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

spoolsv.exe
这个进程是不可以从任务管理器中关掉的。 缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

service.exe
这个进程是不可以从任务管理器中关掉的。大多数的系统核心模式进程是作为系统进程在运行。

System Idle Process
这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

winlogon.exe
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

winmgmt.exe
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化

taskmagr.exe
这个进程就是任务管理器

⑻ 如何查看电脑是否被植入了挖矿程序

如何判断自己的电脑是否被挖矿，怎样预防？
电脑开机后，所有程序都不打开的情况下。按Ctrl+ALT+Del调出任务管理器，在“进程”卡项中，查看CPU的使用情况。如果看到某个进程占用了大量的cpu使用情况，并且几分钟后都没有降低的趋势，这个程序就可能是病毒了。
想要预防自己的电脑被挖矿也很简单，只要安装正规的安全软件，使用安全的浏览器，添加安全合适的插件，就可以防止电脑被挖矿了。
当然，如果不浏览不正规不健康的网站，不下载盗版游戏，盗版软件等就更能从根源杜绝电脑被不法分子挖矿的风险。

⑼ 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

⑽ 怎么查看电脑有没有挖矿病毒

中挖矿病毒有以下几种显著的表现：
1.电脑异常运行缓慢
2.电脑异常死机/卡机
3.什么都没打开但是cpu占用率非常高
4.网络缓慢，出现大量网络请求