新换公司-记一次所罗门挖矿处理

前言 

　　刚入第二天，就接到网站管理的推广经理钉钉，公司阿里云服务器有挖矿告警。

首先拿到用户和密码上去一看，windows服务器。。。   

1.想任打任务管理器查看进程 ，报错打不开

 

 

2.问了下度娘，找到个命令resmon，终于可以看到资源占用了。CPU占了50%，

 

 

3.结束进程，又起来了。。。

4.这才想起去看日志

       观察了下，一结束进程，日志就有这个记录。

　　Service Networkmsm action for exit code 1 is Restart. Attempting to restart C:\WINDOWS\Fonts\Svchost.exe.

　　在C盘死活找不到这个程序Svchost.exe

       只有上CMD看了，dir /a    没看到Svchost.exe  倒看到了winlogin.exe   。。。 

   

 

5.想删除的它，但是报拒绝，肯定有服务在启动它。又回去研究下日志，发现一个服务名称不对劲。Networkmsm  就只有首字每大写和其它服务名规则不通一，没有采用大骆峰。

   

 

 6.就它了，把服务一停。CPU马上下来了。。。 心理舒坦了。现在要做的是清除服务，删除文件

     清服务cmd：sc delete Networkmsm

    删除文件（记得以管理员身份）：del    winlogin.exe

 

 7. 正常资源图

 

 

结束语

　　虽然删除的病毒，但是咋进来的不知道。后面会不会进来心理打鼓（已交代运营升级服务器为阿里的企业版。）