挖矿病毒的服务进程或端口

1. win2008服务器中了挖矿病毒，求解答！

不能完全杀干净的前提下，备份好自己的数据，然后重装系统，不然这样耽误工作真的很麻烦

2. 阿里云windows服务器如何去除挖矿病毒

找到进程，然后找到他文件路径，干掉进程，删掉文件。
另外找找其他可疑进程，避免病毒有守护进程或者其他隐藏进程

3. 服务器上如何清除NrsMiner挖矿病毒

挖矿病毒完整清除过程如下，请在断网情况下进行：

1.停止并禁用Hyper-VAccess Protection Agent Service服务；

2.删除C:Windowssystem32NrsDataCache.tlb；

3.删除C:.dll，若删除失败，可重命名该文件为其他名称；

4.重启计算机；

5.删除C:Windowssystem32SysprepThemes和C:WindowsSysprepThemes目录；

6.删除C:Windowssystem32SecUpdateHost.exe。

7.到微软官方网站下载对应操作系统补丁，下载链接如下：https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010

8.安装国内主流杀毒软件，及时更新至最新病毒特征库。

4. 服务器被rshim挖矿病毒攻击后 HugePages_Total 透明大页怎么都清不掉 一直占用内存 球球

问题定位及解决步骤：

1、free -m 查看内存使用状态 ，发现free基本没了。--> 怀疑是服务有内存泄漏，开始排查

2、使用top命令观察，开启的服务占用内存量并不大，且最终文档在一个值，且服务为java应用，内存并没达到父jvm设置上限。按top监控占用内存排序，加起来也不会超过物理内存总量。查看硬盘使用量，占用20%。基本排除虚拟内存占用过大的原因。--->排除服务内存泄漏因素，怀疑mysql和nginx，开始排查

3、因为top命令看 mysql占用内存也再可控范围，是否存在connection占用过多内存，发现并不会，设置最大连接数为1000，最多也不会超过几M。 nginx占用一直非常小。但每次最先被kill的基本都是nginx进程。所以排查，但发现无非就是openfiles数量啥的调整。发现也一切正常。且之前niginx可以正常使用的。

4、最为费解的就是 通过free -m 查看的时候 基本全是used，cache部分很少，free基本没有。但top上又找不到有哪些进程占用了内存。无解

5、注意到有两个进程虽占用内存不多，但基本耗光了100%的cpu。开始想着占cpu就占了，没占内存，现在是内存不不够导致进程被kill的，就没注意这点。

6、实在搞不定，重启服务器，重启了所有服务，服务暂时可用，回家。在路上的时候发现又崩了。忐忑的睡觉。

7、早上起来继续看，这次留意注意了下那两个占用高cpu的进程，kdevtmpfsi 和 networkservice。本着看看是啥进程的心态，网络了下。真相一目了然，两个挖矿病毒。

突然后知后觉的意识到错误原因：

1、cpu占用率高，正常服务使用cpu频率较高的服务最容易最内存超标。（因为在需要使用cpu时没cpu资源，内存大量占用，服务瞬间崩溃），然后看top发现刚刚已经占用内存的进程已经被kill了，所以没发现内存有高占用的情况。
2、后面的应用继续使用cpu时也会发生类似情况，倒是服务一个一个逐渐被kill。

问题点基本定位好了，解决问题就相对简单很多：
通过网络，google，常见的病毒清除步骤基本都能解决。这两个挖矿病毒很常见，大致记录下要点。可能所有病毒都会有这些基础操作。

① 首先，查看当前系统中的定时任务：crontab -l
我服务器上有四个定时下载任务 通过wget 和 curl 下载病毒文件，把异常的删掉。要不然删了病毒文件还是会下载下来
crontab -r，全部删除命令（或根据需求删除定时任务）

② 查找病毒文件 可以全部模糊搜索 清除， 但病毒文件基本都用了chattr +i命令 使用chattr -i filename 后再使用rm -f filename 。可删除

③ kill 病毒进程，但注意kill了可能马上就重启了。因为有守护进程，需要把病毒进程的守护进程也kill掉

④ 检查是否root用户被攻击，可能系统配置信息被更改。

⑤ 最好能理解病毒脚本，通过看代码看它做了些什么。针对脚本取修复系统。

5. 挖矿病毒怎么排查

登录系统查看任务管理器，查看占用内存较大且无法关闭的进程。进程上点击鼠标右键，打开文件位置（先要在文件夹选项中选择显示隐藏文件及操作系文件）。此时你可能会看到有一个Systmss.exe进程和模仿操作系统的svchost.exe进程这里还可以看到一个2.bat文件，右键编辑打开这个文件查看，可查看到恶意进程与哪个挖矿组织通信。

通过查看系统操作日志可分析出病毒的来源、启动时间等信息，一般原因可能是未关闭3389端口且使用了弱密码导致黑客远程登录上次病毒。

根除病毒：将病毒可执行文件Systmss.exe重命名为Systmss.exe1使病毒无法执行，此时可从任务管理器停止进程。打开注册表编辑器删除HKEY_LOCAL_整个目录。

如果是Linux系统请参考：网页链接

6. 电脑中了挖矿病毒 怎么办阿 着急 新手小白

ctrl+alt+delete打开任务管理器试一下是否有异常进程暂用cpu

另外可以下载安装360安全卫士开启反挖矿防护，有效拦截，并且使用木马查杀进行全盘查杀

7. tasklsv.exe挖矿病毒如何彻底清除

请勿访问陌生网站，在陌生网站浏览、下载很可能导致中毒。

1. 若电脑中存在木马或者病毒程序，安装一款安全软件（例如：电脑管家等）。使用安全软件进行扫描全盘即可发现病毒并删除。若无法处理或者出现错误请尝试备份重要资料后重新安装系统。

2. 若手机中存在木马或者病毒程序，安装一款安全软件（例如：手机管家等）。以手机管家为例，打开手机管家，点击主界面上的一键体检即可自动检测手机中存在的病毒，点击一键清除即可删除。

8. 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。

9. 电脑中了挖矿病毒

方法/步骤
首先，如果是菜鸟写出的病毒，大家可以太任务管理器中，找到该文件路径，直接终结进程树，或直接找到路径删除即可。

2/6
第二，如果对方技术够本，我们很难终结进程，那么，我们可以下载一个电脑管家，现在的电脑管家也增大了挖矿病毒的扫描率，如果查找到直接清理即可。

3/6
第三，如果电脑管家也无法搞定那么，我们可以avast查杀，这个程序在杀毒方面，简直是第一，对于挖矿病毒来说，更是犹如利剑。

4/6
第四，如果使用avast之后，我们还怀疑电脑有挖矿病毒的话，我们先打开进程手动把文档路径放到隔离区。

5/6
第五，在放到隔离区之后，我们使用avast的放松以供分析，然后发给avast的工作员工，备注怀疑是挖矿病毒，对方给我们人工分析，如果是，对方也会帮我们删除。

6/6
第六，如果在专业坚定之后，我们还有所怀疑的话，如果不是大牛，那么，大舅就需要重装电脑了，毕竟，一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)