如何去除挖矿病毒（看看我如何揪出可恨的）

如何去除挖矿病毒（看看我如何揪出可恨的）好了，收工。总结：碰到病毒问题，别太依赖杀毒软件，因为一些比较新的病毒或者是加壳做的比较牛的杀软是识别不出来的。我们利用一些软件再结合自己的一些经验，进行一下手工查杀可能有意想不到的收获哦。这款病毒还有一个特点：当我们用系统自带的任务管理器来查看进程的时候是发现不了这个 dllhostex.exe的。这是病毒作者的一些雕虫小技。但迷惑性较强，因为我们查看系统的时候一般都是用系统自带的任务管理器来看。像这种情况如果不仔细研究的话还真不好发现。这里也正好给大家提个醒，以后如果感觉系统异常的话可以用这款ProcessExplorer 查看一下。7M左右的小软件，可以让我们看到系统的所有运行进程及详细信息。有想要的小伙伴可以私信我，我会一一发给大家。令人有点遗憾的是我们的大360除了误报了一些收费软件的程序不安全以外，竟然没有发现真正的病毒。也可能这款病毒的壳加的比较牛逼，杀毒软件还没认识他们。病

今天上午接到一客户电话，电话那端着急的说：“不好了，我们这里被网监通报了，说我们网络里有挖矿病毒，让马上处理。”放下电话，心里有点忐忑：这家客户是个网吧，规模不是很大，有80台上网的机器，1台游戏服务器，1台收费机服务器，还有1台网管平常玩的机器。如果整个网络感染了病毒，只能停业重新做系统。

马上驱车赶往客户那里。刚到网吧，老板马上给我看了网监发来的通告：

反复看了三四遍网监发的通告，也没看明白到底病毒在哪里？我先给各位不熟悉网吧网络环境的交代一下：网吧的系统都是无盘系统，下面机器没有硬盘，所有机器的系统都是通过网吧的网络访问无盘服务器，客户机的系统是img的虚拟系统包，这种系统包的特点就是只要客户机重启就还原到默认状态，所以我们平常在网吧上网一重启机器自己下载的东西啥都没有了。理论上只要服务器安全，下面客户机系统不存在中毒的可能。网吧的无盘服务器和收费机是网吧里唯一带硬盘的两台机器。我大致判断很大的可能性在他俩身上。

排查的过程其实也不复杂，全程使用了两款软件 ProcessExplorer 和360杀毒 ProcessExplorer 是微软出品的一款很强大的调试软件

令人有点遗憾的是我们的大360除了误报了一些收费软件的程序不安全以外，竟然没有发现真正的病毒。也可能这款病毒的壳加的比较牛逼，杀毒软件还没认识他们。

病毒的藏身地确实在收费机上。我是怎么发现的呢，就是利用的这款 ProcessExplorer 打开软件以后发现有一个Dllhostex.exe比较异常：

看来这是一款利用CPU来挖矿的病毒

这款病毒还有一个特点：当我们用系统自带的任务管理器来查看进程的时候是发现不了这个 dllhostex.exe的。这是病毒作者的一些雕虫小技。但迷惑性较强，因为我们查看系统的时候一般都是用系统自带的任务管理器来看。像这种情况如果不仔细研究的话还真不好发现。这里也正好给大家提个醒，以后如果感觉系统异常的话可以用这款ProcessExplorer 查看一下。7M左右的小软件，可以让我们看到系统的所有运行进程及详细信息。有想要的小伙伴可以私信我，我会一一发给大家。

好了，收工。总结：碰到病毒问题，别太依赖杀毒软件，因为一些比较新的病毒或者是加壳做的比较牛的杀软是识别不出来的。我们利用一些软件再结合自己的一些经验，进行一下手工查杀可能有意想不到的收获哦。