新换公司-记一次所罗门挖矿处理

前言 

  刚入第二天,就接到网站管理的推广经理钉钉,公司阿里云服务器有挖矿告警。

首先拿到用户和密码上去一看,windows服务器。。。   

1.想任打任务管理器查看进程 ,报错打不开

 

 

2.问了下度娘,找到个命令resmon,终于可以看到资源占用了。CPU占了50%,

 

 

3.结束进程,又起来了。。。

4.这才想起去看日志

       观察了下,一结束进程,日志就有这个记录。

  Service Networkmsm action for exit code 1 is Restart. Attempting to restart C:\WINDOWS\Fonts\Svchost.exe.

  在C盘死活找不到这个程序Svchost.exe

       只有上CMD看了,dir /a    没看到Svchost.exe  倒看到了winlogin.exe   。。。 

   

 

5.想删除的它,但是报拒绝,肯定有服务在启动它。又回去研究下日志,发现一个服务名称不对劲。Networkmsm  就只有首字每大写和其它服务名规则不通一,没有采用大骆峰。

   

 

 6.就它了,把服务一停。CPU马上下来了。。。 心理舒坦了。现在要做的是清除服务,删除文件

     清服务cmd:sc delete Networkmsm

    删除文件(记得以管理员身份):del    winlogin.exe

 

 7. 正常资源图

 

 

结束语

  虽然删除的病毒,但是咋进来的不知道。后面会不会进来心理打鼓(已交代运营升级服务器为阿里的企业版。)

 

     

 

       

   

    

posted @ 2021-04-29 22:08  冬日的温暖  阅读(231)  评论(0编辑  收藏  举报