手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac
手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac
起因:
最近服务器群里的两台Windows虚拟服务器上的CPU占用率超级高(已经达到了91%),严重影响公司程序的正常运行,但是又不能安装杀毒软件(一安装杀软系统就崩溃,(T_T)我也很崩溃啊~),所以只能手动查杀。
一次检查过程:
在“任务管理器”里找出了“CPU列”后发现有一个进程(SteamClient.exe,不知道的还以为我在服务器上吃鸡呢,可惜服务器上没有显卡2333),这个进程很诡异的占用了CPU 90%,直接右键“打开文件所在位置”后进入了路径为 C:\Program Data 这个文件夹(注意!这不是系统的ProgramData隐藏文件夹,两个单词之间多了一个空格,并且文件夹并不是隐藏的),文件夹里有两个文件,一个是mainer.zip,一个是SteamClient.exe,把这两个文件拷贝出来到个人电脑上后查杀,两个文件都报风险项HackTool/CoinMiner.a (那个 SteamClient.exe 其实就是 mainer.zip 解压出来的)。
一次查杀过程:
既然找到了病毒,现在就是在“任务管理器”里结束 SteamClient.exe 进程,然后删除 C:\Program Data (再次注意!这个不是系统的那个文件夹,不要删除错了!)这个文件夹。瞬间服务器CPU就降下来了,清爽多了。
一次结果:
到第二天又发现那两台服务器的 CPU 又飙升到了 90%上下, 证明刚才删除的文件只是运行文件,这次攻击还有中间手段在运行,方便挖矿病毒能够在被删除以后还能自动生成,然后运行。结论是除了上面检查出来的文件夹还有其他恶意程序在运行。
二次检查过程:
这次检查借助了一下检查工具(Trojan Killer:免安装版,本来是查杀一体,但是杀毒需要付费,所以我就只用来检测了。注意!会占用服务器的IO读写性能,所以请在服务器空闲时使用!),经过长时间的全文件检测以后,报出了 C:\Windows\HhSm\taskmrg.exe 是 Trojan/Miner.ac 的风险项,该文件伪装成类似任务管理器的名称来欺骗手工清除,找到 HhSm 文件夹以后发现里面有4个文件:一是 debug.txt (该文件是 taskmrg.exe 运行的信息输出记录,揣测是方便开发者查看可执行文件运行情况的) ,二是 parameters.ini (该文件是 taskmrg.exe 运行时的参数设置,SteamClient这个名称就是在这个文件里配置的),三是 restart.bat (该文件是重启 AdobeFlashPlayerHash 的批处理文件),四是 taskmrg.exe (这是正主!)。
二次查杀过程:
这次就直接删除 HhSm 这个文件夹了,因为 taskmrg.exe 不是常驻进程,所以没有占用,可以直接删除。
二次结果:
这次删除后还有待观察是否还有其他伪装文件存在,但是暂时解决了这个问题。
转载于:https://my.oschina.net/u/2411436/blog/1806327
手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac相关推荐
- 在 Linux 或者 Windows 服务器上安装部署 MATLAB
在 Linux 或者 Windows 服务器上安装部署 MATLAB 目标 在服务器上安装 MATLAB,以供实验室内多个用户远程连接使用.特别是要完成 MATLAB 的激活. 安装方式 这里我们采用 ...
- shell实现批量在多台windows服务器上执行同一命令并获取返回结果
1. 需求 在对windows服务器的运维当中,如果要查看当前的主机名.资源使用.软件安装情况等,大家是怎么操作呢,是登进去鼠标挨着点击查看,还是通过命令呢?貌似命令的方法比较专业一点.但是,如 ...
- 如何确定Windows服务器上是否打开了端口? [关闭]
我正在尝试在服务器上的备用端口下安装站点,但该端口可能被防火墙关闭. 有没有办法ping或在特定端口上,看看它是否打开? #1楼 在Windows上,您可以使用 netstat -na | find ...
- Kettle-开源的ETL工具集-实现SqlServer到Mysql表的数据同步并部署在Windows服务器上
场景 kettle 中文名称叫水壶,该项目的主程序员MATT希望把各种数据放到一个壶里,然后 以一种指定的格式流出.是一款由纯Java编写的ETL工具,绿色无需安装,数据抽取高效稳定(数据迁移工具). ...
- 《微信小程序-证件照换底色》之三:微信小程序接收django的图片并部署到windows服务器上
实现小程序接收django的图片并部署到windows服务器上 继上一篇:用pycharm搭建django框架接收微信小程序的图片后续 链接: https://blog.csdn.net/qq_449 ...
- 在Windows服务器上搭建Nuget私人服务器(超~详细)
在Windows服务器上搭建Nuget私人服务器 一.使用VS2017/VS2019新建空白解决方案,操作如图: 步骤一:这里以VS2019为例,打开VS2019,选择[创建新项目]选项: 步骤二:选 ...
- Windows服务器上的网站备份
所谓网站备份,是指将网站数据以某种方式加以保留,以便在网站系统遭受破坏或其他情况下,重新加以利用的过程.在网站管理中,数据安全是网站管理者的首要任务,而数据备份和恢复工作就成为保护网站系统数据完整性和 ...
- 医疗影像工具LEADTOOLS 入门教程: 在 Windows 服务器上部署 LEADTOOLS 文档服务 - .NET Framework
LEADTOOLS是一个综合工具包的集合,用于将识别.文档.医疗.成像和多媒体技术整合到桌面.服务器.平板电脑.网络和移动解决方案中,是一项企业级文档自动化解决方案,有捕捉,OCR,OMR,表单识别和 ...
- python向windows服务器上传文件(夹)
python向windows服务器上传文件(夹) 本人需求分析: 需要从本地将某个指定目录下的文件夹上传至服务器的某个指定目录下. 这次思路是采用python的 paramiko 库.paramiko ...
- Windows服务器上查看端口是否被占用
场景 Windows 服务器上部署项目时查看某端口号是否被占用. 这里使用的是Windows Server 2012. 实现 连接服务器,找到Windows PowerShell 打开之后 输入 te ...
最新文章
- 虚拟服务器磁盘满了咋办,虚拟主机磁盘空间不够用怎么办?
- Sql面试题之三(难度:简单| 含答案)
- docker 操作 记录
- python3 readexcel pandas问题,使用python中的pandas中的read_excel函数将日期保留为字符串...
- 怎样才算得上合格的程序员
- jSignature签名的用法,一文教会你(二)后台代码
- 分享76个PHP源码总有一个适合你
- 【PID控制与模糊PID控制的比较】(带仿真和代码链接)
- 数据库系统原理与应用教程(006)—— 编译安装 MySQL5.7(Linux 环境)
- mysql复制表结构并创建新表_mysql ---复制表结构---创建新表
- C# .net MVC 微信红包(服务号发送红包)
- Verilog——秒计数器
- Latex入门_第3章:文档元素
- 影视影评类微信公众号图文排版有哪些技巧?
- 地形建模(二)--TIN拉伸成模型并贴纹理
- 新技术加速隐私暴露,我们该怎么办?(二)
- 受力分析软件_学了那么多力学,怎么还是不会做有限元分析?
- 学习-软件测试-Selenium-unittest-Maven-Jmeter
- Hive beeline常用操作
- centos minimal安装基础流程
热门文章
- 《Spring实战》读书笔记-第1章 Spring之旅
- ZoomIt下载,ZoomIt下载地址分享
- 计算机基础知识200分选择题,计算机基础考试题库及答案
- 中基鸿业人人都要懂的投资理财常识
- 电压、电流检测方法介绍
- 数字孪生技术协助信息物理系统构建数字化城市
- 解决lay out无法使用闪退问题,SketchUp 2022 MAC中文 (草图大师) 支持M1intel芯片,支持monterey最新系统
- windows 10纯净安装教程:从wepe下载制作启动盘到启动wepe系统安装windows10
- 测试无线电频率的软件叫什么,软件无线电到底是什么
- cacti mysql 压缩 备份_cacti数据迁移步骤 CactiEZ重装系统后 恢复原来的数据 CactiEZ重装系统前要备份的数据...