手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac

最新推荐文章于 2024-04-22 10:09:06 发布
最新推荐文章于 2024-04-22 10:09:06 发布
阅读量1.8w 收藏 15
点赞数 3
文章标签: json python c#
原文链接:https://my.oschina.net/u/2411436/blog/1806327
版权

手工清除Windows服务器上的Steam挖矿病毒:HackTool/CoinMiner.a及Trojan/Miner.ac

起因:

      最近服务器群里的两台Windows虚拟服务器上的CPU占用率超级高(已经达到了91%),严重影响公司程序的正常运行,但是又不能安装杀毒软件(一安装杀软系统就崩溃,(T_T)我也很崩溃啊~),所以只能手动查杀。

一次检查过程:

      在“任务管理器”里找出了“CPU列”后发现有一个进程(SteamClient.exe,不知道的还以为我在服务器上吃鸡呢,可惜服务器上没有显卡2333),这个进程很诡异的占用了CPU 90%,直接右键“打开文件所在位置”后进入了路径为 C:\Program Data  这个文件夹(注意!这不是系统的ProgramData隐藏文件夹,两个单词之间多了一个空格,并且文件夹并不是隐藏的),文件夹里有两个文件,一个是mainer.zip,一个是SteamClient.exe,把这两个文件拷贝出来到个人电脑上后查杀,两个文件都报风险项HackTool/CoinMiner.a  (那个 SteamClient.exe 其实就是 mainer.zip 解压出来的)。

一次查杀过程:

      既然找到了病毒,现在就是在“任务管理器”里结束 SteamClient.exe 进程,然后删除 C:\Program Data (再次注意!这个不是系统的那个文件夹,不要删除错了!)这个文件夹。瞬间服务器CPU就降下来了,清爽多了。

一次结果:

      到第二天又发现那两台服务器的 CPU 又飙升到了 90%上下, 证明刚才删除的文件只是运行文件,这次攻击还有中间手段在运行,方便挖矿病毒能够在被删除以后还能自动生成,然后运行。结论是除了上面检查出来的文件夹还有其他恶意程序在运行。

二次检查过程:

      这次检查借助了一下检查工具(Trojan Killer:免安装版,本来是查杀一体,但是杀毒需要付费,所以我就只用来检测了。注意!会占用服务器的IO读写性能,所以请在服务器空闲时使用!),经过长时间的全文件检测以后,报出了 C:\Windows\HhSm\taskmrg.exe 是 Trojan/Miner.ac 的风险项,该文件伪装成类似任务管理器的名称来欺骗手工清除,找到 HhSm 文件夹以后发现里面有4个文件:一是 debug.txt (该文件是 taskmrg.exe 运行的信息输出记录,揣测是方便开发者查看可执行文件运行情况的) ,二是 parameters.ini (该文件是 taskmrg.exe 运行时的参数设置,SteamClient这个名称就是在这个文件里配置的),三是 restart.bat (该文件是重启 AdobeFlashPlayerHash 的批处理文件),四是 taskmrg.exe (这是正主!)。

二次查杀过程:

      这次就直接删除 HhSm 这个文件夹了,因为 taskmrg.exe 不是常驻进程,所以没有占用,可以直接删除。

二次结果:

      这次删除后还有待观察是否还有其他伪装文件存在,但是暂时解决了这个问题。

 

转载于:https://my.oschina.net/u/2411436/blog/1806327

chetiao3271
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Alexa上排名靠前的网站基本上都受到了CoinMiner病毒、恶意外部链接、Web skimmer攻击
systemino的博客
10-10 4311
Unit 42最近在Alexa上启动了一项针对全球前一万网站的威胁搜索活动,Alexa排名基于访问者的互动和访问次数来衡量网站的受欢迎程度。如表1所示,研究人员发现了四个受影响的网站。在随后的分析中,研究人员会更详细地描述这些恶意活动,其中就包括了CoinMiner病毒,它们劫持了CPU资源来加密货币。早在2017年CoinMiner就被发现,它是一款无文件的恶意软件,它会利用WMI(Windows Management Instrumentation)在感染的系统上运行命令,专家称,这款软件很..
Hack.Chat-ChatBot:Hack.Chat聊天机器人
05-19
Hack.Chat-ChatBot Hack.Chat聊天机器人下载文件后,请遵循有关如何为浏览器打开JavaScript控制台的指南。 然后将其粘贴到其中,它将运行。 运行后,您将看到不同的控制台消息,这些消息告诉您调试时正在发生的情况...
乱下东西导致病毒TrojanCoinMiner的解决记录
m0_53419552的博客
06-30 9099
乱下东西导致病毒TrojanCoinMiner的解决记录
探索技术边界:HackTools——实用的安全测试工具集合
最新发布
gitblog_00020的博客
04-22 369
探索技术边界:HackTools——实用的安全测试工具集合 项目地址:https://gitcode.com/ngc660sec/HackTools 在信息安全领域,有一款名为HackTools的开源项目,它是一个精心整理的安全与渗透测试工具库,为开发者、安全研究员和IT专业人员提供了一个便捷的平台,以进行各种网络安全实践和学习。 项目简介 HackTools是由ngc660sec维护的一个不断更...
清除Linux病毒
三少
03-21 1979
今天上服务器发现特别卡,有点奇怪,也没安装什么软件,况且昨天还是好好的。 top一下,不看不知道,一看吓一跳,有几个莫名的进程,CPU达到了200%。 查了下资料,才发现是被人利用了。 不过不要急,先把相关进程kill掉 然后进/etc里面查看相关文件 大概就是networkservice,sysupdate,sysupdates,config.json,sysguard这几个 注意,先用c...
病毒CoinMiner入侵SQLServer
黑白的博客
06-26 5627
病毒CoinMiner入侵SQLServer
阿里云ECS遭程序攻击解决方法(彻底清除程序,顺便下载了程序的脚本)
热门推荐
zzf1510711060的博客
10-11 1万+
一:杀死程序进程 在服务器上使用top指令查看cpu的使用情况,发现有一个叫java的程序占用cpu高达99.9% PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 5778 root 20 0 ...
病毒名称:Hacktool (正当追杀+旁门左道)
Aphy的专栏
06-20 4117
  病毒名称:Hacktool   文件名:c:/winnt/system32/ntservice.exe   操作:删除失败,隔离失败,访问被拒绝  1、 如何才能彻底 删除呢?      因为c:/winnt/system32/ntservice.exe已经在运行了,直接删除显然是不可能的。于是我运行Windows任务管理器,在进程选 项卡中选择结束ntservice.exe进程,结果系统显示
HackTool.zip
10-31
【Android 逆向】代码调试器开发 ( 使用 NDK 中的 ndk-build + Android.mk 编译 Android 平台的代码调试器可执行应用 ) https://hanshuliang.blog.csdn.net/article/details/121059532 博客代码
Steam-Achievement-Abuser:在游戏中获得所有成就
05-08
Steam成就滥用者 基于: : 它是什么? 该程序需要以最快的方式解锁Steam游戏中的所有成就。 如何使用: 下载最新版本 打开某些文件夹的包装 启动Steam 启动Steam Achievement Abuser.exe 完毕! 影片教学 截屏
AR.js:图像跟踪,基于位置的AR,标记跟踪。 所有在网络上
02-03
AR.js-网络上的增强现实 AR.js是用于Web上增强现实的轻量级库,具有图像跟踪,基于位置的AR和标记跟踪等功能。 欢迎使用官方资料库! 该项目由创建,现在由维护。 :rocket: 有关AR.js的频繁更新,您可以关注并...
Trojan专杀工具,用着真不错.
03-19
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
mkmatlab代码-PUMA500_QNX_Hack-in:项目描述:http://www-users.cs.umn.edu/~martin
06-04
2015b(已测试)及以上版本,带有 SIMULINK 和 Real Time Workshop; QNX IDE 6.5.0 假定安装在默认路径下。 将puma_sim_v21/rtw/c/qnx_*和puma_sim_v21/toolbox/puma*文件夹添加到 MATLAB 路径; 在编译puma_sim_...
病毒清除记录
weixin_34174422的博客
04-10 6187
转载地址:https://www.52pojie.cn/thread-864849-1-1.html?tdsourcetag=s_pctim_aiomsg起因是同学过年期间因阿里云的服务器Redis弱口令(好像是没设密码)被提权植入了病毒,CPU长期占用100%。登录服务器后,首先使用Top命令,查看CPU占用。发现CPU占用率达到100%,可是却没有相关占用高的进程。想...
再记一次病毒应急响应
m0_59598029的博客
08-09 890
CoinMiner是WannaMine病毒最新变种文件,该变种文件基于WannaMine3.0改进,加入了一些新的免杀技术和爆破手段,其传播机制与WannaCry勒索病毒一致,可在局域网内通过SMB快速横向扩散,我们将其命名为WannaMine4.0,其检测名为CoinMiner.Win64.TOOLXMR.AR。WannaMine4.0主体病毒文件为dllhostex.exe,负责取门罗币。
【Android 逆向】Android 逆向通用工具开发 ( PC 端工具 hacktool 启动 main 函数分析 | hacktool 工程中的核心类 HackCommand 分析 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
11-07 1533
一、PC 端工具 hacktool 启动 main 函数分析、 二、PC 端工具 hacktool 工程中的核心类 HackCommand 分析
记一次linux木马的处置
beichenyyds的博客
09-15 4232
linux服务器木马处置
网络工程师 第8章 网络安全
Gogineer的博客
09-15 2368
网络工程师 第8章 网络安全 学习摘要
无法访问https://accounts.google.com/
07-27
回答: 如果您无法访问https://accounts.google.com/,可能是因为您的访问权限被限制了。根据引用\[1\]中提到的解决方法,您可以尝试打开安全性较低的应用的访问权限。具体操作可以参考https://myaccount.google.com/lesssecureapps?pli=1&rapt=AEjHL4MhDtvOq2YIIPg9JeIXsehhOcJ9CT2Y3LHquG3DdlZLjOQs4INCuxoASEVVyfWkZo_Mt-ebsmt0qeKNesLd2gMrWJk8xQ。希望这个解决方法能够帮助您解决问题。 #### 引用[.reference_title] - *1* *2* [Javax.mail.AuthenticationFailedException: 534-5.7.14 <https://accounts.google.com/signin/continue?](https://blog.csdn.net/bei_FengBoby/article/details/120759357)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [https://app.hackthebox.com/machines/Soccer](https://blog.csdn.net/m0_47210241/article/details/129651631)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值