启明挖矿病毒

Ⅰ win32.troj.ethashminer.a.是什么病毒

因为使用某国产播放器（看看影音）后，感染了“挖矿病毒"—Win32.Troj.EthashMiner.a，病毒的表现如下：
1、发现电脑中C盘可使用空间骤降，且在C盘Ethash文件夹内，发现存在大量的1G左右的垃圾文件。
2、电脑闲置状态时，风扇转速增快，电脑发热增加，GPU使用率达到100%。非闲置状态时，恢复正常。

用常用的杀毒或者安全软件最新版本即可查杀。

Ⅱ 挖矿病毒是一段代码或者一个软件

“挖矿”病毒是一段代码或者一个软件，伪装成一个正常文件进入受害者的电脑。
病毒利用主机或者操作系统的高危漏洞，并结合高级攻击技术在局域网内传播，控制电脑进行大量的计算机运算来获取虚拟货币。“挖矿”病毒会消耗大量的计算机处理资源。

Ⅲ 中了挖矿木马，我是如何清理的

目前挖矿木马还没办法查杀，即使是2020年6月的现在，市面上所有的安全卫士都没办法识别出来。这个木马非常狡猾，通过局域网共享传播，感染之后会在本地生成一个合法程序（powershell命令形式的），然后木马程序会自动删除，这也是安全卫士没办法查杀的原因吧。我曾经翻过整个C盘，都没办法找出源文件，只能重装系统了。

Ⅳ 挖矿病毒怎么处理

挖矿病毒处理步骤如下：

1、查看服务器进程运行状态查看服务器系统整体运行情况，发现名为kdevtmpfsi的挖矿进程大量占用系统CPU使用率。

2、查看端口及外联情况查看端口开放状态及外联情况，发现主机存在陌生外联行为。对该外部地址进行查询发现属于国外地址，进一步确定该进程为恶意挖矿进程：定位挖矿进程及其守护进程PID挖矿病毒kdevtmpfsi在运行过程中不仅会产生进程kdevtmpfsi。

6、查看redis日志通过查看redis配置文件/etc/redis.conf发现日志功能未开启。

7、查找敏感文件发现authorized_keys文件。

8、查看ssh日志文件查看ssh日志文件，发现大量登陆痕迹以及公钥上传痕迹。

Ⅳ 挖矿病毒

自从比特币火起来以后，运维和安全同学就经常受到挖矿病毒的骚扰，如果有人说机器cpu被莫名其妙的程序占用百分之八十以上，大概率是中了挖矿病毒。

说说挖矿病毒的几个特点：

一、cpu占用高，就是文中一开始所说的，因为挖矿病毒的目的就是为了让机器不停的计算来获利，所以cpu利用率都会很高。

二、进程名非常奇怪，或者隐藏进程名。发现机器异常以后，使用top命令查看，情况好的能看到进程名，名字命名奇怪，我见过的linux上中毒的是以. exe命名的程序。对于隐藏进程名这种情况，找起来就更加费事了，需要查看具备linux相关的系统知识。

三、杀死后复活，找到进程之后，用kill命令发现很快就会复活，挖矿病毒一般都有守护进程，要杀死守护进程才行。

四、内网环境下，一台机器被感染，传播迅速，很快会感染到其他机器。

挖矿病毒的防御

挖矿病毒最好的防御重在平时安全规范，内网机器不要私自将服务开放到公司，需要走公司的统一接口，统一接口在请求进入到内网之前，会有安全措施，是公司入口的第一道安全门。还有就是公司内网做好隔离，主要是防止一个环境感染病毒，扩散到全网。

对于已经感染的情况，可以通过dns劫持病毒访问的域名，公网出口过滤访问的地址，这些手段是防止病毒扩大的手段，对于已经感染的机器，只能通过开始讲的几种方法找到并杀死病毒了。

Ⅵ 解决挖矿病毒的经历

线上一台服务器，CPU高达90%以上，经过top 分析出进程kdevtmpfsi
kill -9 杀死进程无果，很快就会自动恢复
排查步骤：

结果：

病毒被植入到了线上运行的某一docker容器内。

如何先确定是哪一容器再去删除搜索结果中的病毒文件？

我这台机器跑的容器不多，可以用复制文件的方法，先 docker cp 一个文件到容器中。再去find 这个文件
如果结果还是在刚才搜索病毒的那个文件目录下（/var/lib/docker/devicemapper/mnt/xxxxx ）就可以确定容器了。结果是php的容器出现了问题。

知道是具体是什么容器出现了问题，最快的办法就是先重启一个新的容器。
我这边是nginx +php 两种服务容器，所以先启动了一个新php容器，修改nginx中配置文件代理后端php服务器端口为新容器的IP地址。（nginx容器已经映射目录到宿主机）

修改PHP后端IP地址
cd 宿主机映射nginx的配置文件位置目录

测试线上环境正常后，删除原来的php容器。（这是自然也==直接删除了病毒文件）
执行 TOP命令，CPU占用正常。
平时防火墙和sellinux都关闭的话，服务器不要暴漏太多无用端口，出现问题应该最新通过进程名去查找文件的原始位置去分析问题，遇到挖矿病毒也应该多注意/etc/init.d下和cron计划任务有无异常。
后期也可以写个cron或者脚本

Ⅶ 电脑中了挖矿病毒 怎么办阿 着急 新手小白

ctrl+alt+delete打开任务管理器试一下是否有异常进程暂用cpu

另外可以下载安装360安全卫士开启反挖矿防护，有效拦截，并且使用木马查杀进行全盘查杀

Ⅷ 电脑中了挖矿病毒

方法/步骤
首先，如果是菜鸟写出的病毒，大家可以太任务管理器中，找到该文件路径，直接终结进程树，或直接找到路径删除即可。

2/6
第二，如果对方技术够本，我们很难终结进程，那么，我们可以下载一个电脑管家，现在的电脑管家也增大了挖矿病毒的扫描率，如果查找到直接清理即可。

3/6
第三，如果电脑管家也无法搞定那么，我们可以avast查杀，这个程序在杀毒方面，简直是第一，对于挖矿病毒来说，更是犹如利剑。

4/6
第四，如果使用avast之后，我们还怀疑电脑有挖矿病毒的话，我们先打开进程手动把文档路径放到隔离区。

5/6
第五，在放到隔离区之后，我们使用avast的放松以供分析，然后发给avast的工作员工，备注怀疑是挖矿病毒，对方给我们人工分析，如果是，对方也会帮我们删除。

6/6
第六，如果在专业坚定之后，我们还有所怀疑的话，如果不是大牛，那么，大舅就需要重装电脑了，毕竟，一装百物清。
网络经验:https://jingyan..com/article/ca41422f1d83601eae99edf3.html
望采纳谢谢(≧∇≦)

Ⅸ 大家帮忙看看中了哪种挖矿病毒重装系统10次，网上方法都用了，没有用。WIN8 WIN10都是这样

首先您可以试试金山毒霸，用它来查杀电脑病毒。先常规查杀电脑病毒，如果个不行的话，还可以使用顽固木马查杀的功能。
如果还是不行，建议您制作一个U盘PE，可以使用u大师来制作。
设置电脑从U盘启动，或者是快捷启动U盘。进入PE系统，备份您的数据（既然是中了病毒，您的数据可能也中了病毒），重新给硬盘分区，重建主引导记录，之后安装您需要的系统，安装好系统之后，马上安装杀毒软件查杀病毒， 之后安装驱动（驱动基本上都会安装好了）。

Ⅹ 中挖矿病毒的表现

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1.找到他shell脚本对应目录把目录或者文件删除。

2.检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3.添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4.排查liunx命令是否损坏，如损坏下载"procps-3.2.8"并编译，恢复top等系列命令。

5.检测进程是否异常。

6.排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7.排查ssh登录日志。

8.把ssh登录切换成秘钥登录。

9.重启服务器，检查是否进程是否正常。