手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac

起因：

最近服务器群里的两台Windows虚拟服务器上的CPU占用率超级高（已经达到了91%），严重影响公司程序的正常运行，但是又不能安装杀毒软件（一安装杀软系统就崩溃，（T_T）我也很崩溃啊~），所以只能手动查杀。

一次检查过程：

在“任务管理器”里找出了“CPU列”后发现有一个进程（SteamClient.exe，不知道的还以为我在服务器上吃鸡呢，可惜服务器上没有显卡2333），这个进程很诡异的占用了CPU 90%，直接右键“打开文件所在位置”后进入了路径为 C:\Program Data 这个文件夹（注意！这不是系统的ProgramData隐藏文件夹，两个单词之间多了一个空格，并且文件夹并不是隐藏的），文件夹里有两个文件，一个是mainer.zip，一个是SteamClient.exe，把这两个文件拷贝出来到个人电脑上后查杀，两个文件都报风险项HackTool/CoinMiner.a （那个 SteamClient.exe 其实就是 mainer.zip 解压出来的）。

一次查杀过程：

既然找到了病毒，现在就是在“任务管理器”里结束 SteamClient.exe 进程，然后删除 C:\Program Data （再次注意！这个不是系统的那个文件夹，不要删除错了！）这个文件夹。瞬间服务器CPU就降下来了，清爽多了。

一次结果：

到第二天又发现那两台服务器的 CPU 又飙升到了 90%上下，证明刚才删除的文件只是运行文件，这次攻击还有中间手段在运行，方便挖矿病毒能够在被删除以后还能自动生成，然后运行。结论是除了上面检查出来的文件夹还有其他恶意程序在运行。

二次检查过程：

这次检查借助了一下检查工具（Trojan Killer：免安装版，本来是查杀一体，但是杀毒需要付费，所以我就只用来检测了。注意！会占用服务器的IO读写性能，所以请在服务器空闲时使用！），经过长时间的全文件检测以后，报出了 C:\Windows\HhSm\taskmrg.exe 是 Trojan/Miner.ac 的风险项，该文件伪装成类似任务管理器的名称来欺骗手工清除，找到 HhSm 文件夹以后发现里面有4个文件：一是 debug.txt （该文件是 taskmrg.exe 运行的信息输出记录，揣测是方便开发者查看可执行文件运行情况的），二是 parameters.ini （该文件是 taskmrg.exe 运行时的参数设置，SteamClient这个名称就是在这个文件里配置的），三是 restart.bat （该文件是重启 AdobeFlashPlayerHash 的批处理文件），四是 taskmrg.exe （这是正主！）。

二次查杀过程：

这次就直接删除 HhSm 这个文件夹了，因为 taskmrg.exe 不是常驻进程，所以没有占用，可以直接删除。

二次结果：

这次删除后还有待观察是否还有其他伪装文件存在，但是暂时解决了这个问题。

转载于:https://my.oschina.net/u/2411436/blog/1806327