windows系统挖矿 Windows挖矿排查

一、WannaMine挖矿木马手工处理

关于病毒及木马的问题，都说老生常谈的了，这里就不讲逆向分析的东西，网上毕竟太多。就写一下WannaMine2.0到4.0的手工处理操作。确实，很多时候都被问的烦了。

WannaCry勒索与WannaMine挖矿，虽然首次发生的时间已经过去很久了，但依旧能在很多家内网见到这两个，各类杀毒软件依旧无法清除干净，但可以阻断外联及删除病毒主体文件，但依然会残留一些。此种情况下，全流量分析设备依旧可以监测到尝试外联，与445端口扫描行为。

WannaCry在使用杀毒软件及手动清除攻击组件所在目录后，仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。

WannaMine全系使用“永恒之蓝”漏洞，在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。

下图为WannaCry与WannaMine使用的永恒之蓝攻击组件相关文件。

WannaMine2.0版本

该版本释放文件参考如下：

C:\Windows\SpeechsTracing\Microsoft

C:\Windows\system32\wmassrv.dll

C:\Windows\system32\HalPluginsServices.dll

C:\Windows\System32\EnrollCertXaml.dll删除系统服务名与DLL文件对应的wmassrv。

WannaMine3.0版本

该版本释放文件参考如下：

C:\Windows\System32\MarsTraceDiagnostics.xmlC:\Windows\AppDiagnostics\C:\Windows\System32\TrustedHostex.exeC:\Windows\System32\snmpstorsrv.dll

需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine4.0版本

该版本释放文件参考如下：

C:\Windows\System32

dpkax.xsl

C:\Windows\System32\dllhostex.exe

C:\Windows\System32\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\dllhostex.exe

C:\Windows

etworkDistribution

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap!important; overflow-wrap: break-word!important; max-width: 98%;">文件名随机组合参考•第一部分：Windows、Microsoft、Network、Remote、Function、Secure、Application•第二部分：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP•第三部分：Service、Host、Client、Event、Manager、Helper、System•rdp压缩文件随机字符串后缀：xml、log、dat、xsl、ini、tlb、msc</pre>

关于Windows下计划任务与启动项查看方式，建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下，可以到注册表下查看。

注册表下排查可疑的计划任务

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree

发现可疑项可至tasks下查看对应ID的Actions值

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks[图片上传失败...(image-e8f3b4-1649809774433)]

计划任务文件物理目录

C:\Windows\System32\Tasks\Microsoft\Windows

新变种病毒有依靠 WMI类属性存储 ShellCode进行攻击，Autoruns可以用来检查WMI与启动项并进行删除，在手动删除病毒相关计划任务与启动项时，记得删除相应的文件与注册表ID对应项。

注册表下查看开机启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

un或runOnce [图片上传失败...(image-8a357b-1649809774432)]

二、Win8系统怎样安装比特币挖矿机

首先，您需要在百度搜索栏中输入“groupfabric miner”，然后点击搜索结果中的链接，这将引导您到正确的页面。

在新打开的页面上，找到并点击“在 Windows应用商店中查看”的按钮。稍等片刻，Windows应用商店将会加载出来。

进入应用商店后，请点击页面左侧的“安装”按钮。此时，系统会提示您输入您的 Microsoft帐户和密码。

输入完成后，请点击“保存”按钮。然后耐心等待应用的安装过程完成。

安装完成后，您可以通过点击开始键回到应用磁贴页面。在磁贴列表中找到并点击“Bitcoin Miner”图标，打开应用程序。

打开应用程序后，您将看到一个下拉列表，名为“Select a mining pool”。请在此下拉列表中选择您想要加入的矿池。

以 BTC Guild为例，选择好矿池后，请输入相应的矿工账户信息。输入完成后，点击“Start”按钮以开始挖矿过程。

此外，您还可以在“Bitcoin Miner”应用中设置挖矿的其他参数，如工作量难度等。请注意，挖矿需要消耗大量的计算资源和电力，请根据实际情况合理配置。

在挖矿过程中，您可以随时监控挖矿进度和收益情况。如果您遇到任何问题，可以查阅应用的帮助文档或联系技术支持。

需要注意的是，挖矿并非一项轻松的活动。它不仅需要高性能的硬件设备，还需要一定的技术知识和耐心。因此，在开始挖矿之前，请确保您已经做好了充分的准备。

最后，提醒您在进行挖矿活动时，遵守相关法律法规，确保交易安全。切勿参与任何非法或有风险的挖矿项目。

三、新的华硕笔记本开机后如何设置Windows

1，首次开机一般会听到小娜的语音提醒，并看到界面上的文字提示。（如需保持安静，将电脑设置为静音即可）

2，介绍完毕后，进入到区域设置界面。选择中国，点击是即可。

3，选择键盘布局，可以根据实际需要选择微软拼音或是微软五笔哦。

4，是否需要添加第二种键盘布局，一般选择跳过即可。

5，连接网络这步可以跳过,也可以连接已知的网络。（如此步选择跳过，接下来根据提示创建的是本地账户）

6，阅读许可协议后，选择接受。

7，设置账户名，推荐输入英文的账户名。

8，设置帐号密码，务必选用您绝对能记住的密码哦。如果不想设置密码，在密码栏留空，直接点击下一步即可。

9，如果需要使用Cortana，选择是即可。

10，根据实际需要进行隐私设置，编辑后点击接受即可。

11，输入支持和保护信息。如不想填写，直接点击下一步即可。

12，等待设置完善，之后会自动进入系统。

四、miner挖矿木马该怎么清除

miner挖矿木马的清除方法如下：

重启电脑并进入安全模式：

首先，需要重启电脑。在重启过程中，按下键盘上的F8键，进入电脑的安全模式。安全模式是Windows操作系统的一种特殊模式，它只加载最基本的驱动程序和服务，有助于排除第三方软件的干扰，从而更有效地清除病毒。在安全模式下使用杀毒软件进行查杀：

进入安全模式后，打开已安装的杀毒软件。选择病毒查杀功能，对电脑进行全面扫描。在安全模式下，杀毒软件通常能够更彻底地检测和清除miner挖矿木马等顽固病毒。注意电脑资源和性能的变化：

miner挖矿木马会消耗电脑资源，进行挖矿活动，导致电脑性能和资源利用率下降。在清除病毒后，应密切关注电脑的运行状态，特别是显卡和CPU的占用情况。如果发现资源占用仍然异常高，可能需要进一步检查系统或寻求专业帮助。注意：在清除miner挖矿木马的过程中，务必保持耐心和谨慎。如果遇到困难或不确定的情况，建议咨询专业的电脑维修人员或技术人员。同时，为了预防类似病毒的再次感染，建议定期更新杀毒软件、不轻易点击来路不明的链接或下载未知来源的文件。