网吧被人假装挖矿!!!

在网吧无意发现C盘sysWOW64文件夹下有一个动态名称的挖矿程序



BCH收益地址

BCD收益地址

变看了上面的CLI窗口提示没找到矿池地址…..醉了竟然是个无效的挖矿。看了BCH和BCD的收益最近一次也是18年2月。趁它正在运行检测下GPU发现并没有占用率,这是什么鬼,费这么大劲搞个挖矿竟然不挖了?其实应该是矿池地址更变或者矿池倒闭了,软件一直没有更新。

就算没挖矿,也得安排它!Hash检测挖矿程序,MD5值不变


370通过MD5屏蔽掉,重启看日志:

[安全中心][文件规则] 进程 c:\windows\smss.exe 尝试访问 文件 \device\harddiskvolume1\windows\syswow64\vxlbp.exe ,  已拦截(全禁).规则id:807

这个程序是c:\windows\smss.exe创建的,370继续屏蔽此路径,再重启看日志

[安全中心][文件规则] 进程 c:\program files (x86)\e-yoo\workgroupset\bootstartbat\ld\ldmnq_ld_4019.exe 尝试访问 文件 \device\harddiskvolume1\windows\smss.exe ,  已拦截(全禁).规则id:808

此路径为e-yoo的开机启动项,去服务器看高配区确实有一个名字为ldmnq_ld_4019的启动项,创建日期为20.08.09的启动项,18年2月就不挖的软件,20年9月又出现在服务器的启动项里,真是活久见!为什么会出现在服务器启动项里具体原因不详,取消掉启动项,修改服务器密码下载杀毒软件检测后再观察看!

题外话,其实也不是挖矿这B多善良,我估计是难度太高,根本挖不动,这个软件也就扔那不管了。


赞(2) 打赏
转载请注明出处:EasySupport | 易速 » 网吧被人假装挖矿!!!
分享到: 更多 (0)

评论 抢沙发

评论前必须登录!

 

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏