1、事件描述
最近电脑莫名其妙的突然巨卡,打开任务管理器发现 有个名叫 jh1e.exe的程序在运行,cpu占用率90%-100%,内存 2056.6MB左右。
果断查看其位置,然后杀掉进程。发现它在c盘的temp文件夹下。可奇怪的是我把那个exe删除后,temp文件夹却不能删除,因为删除后一刷新又出现了。
这时我意识到 我的电脑中毒了。但是我一直用的卡巴斯基啊,为啥没提示呢?然后我又用了小红伞和360 都查不出来。
第二次开机,没有出现上述情况,但是插上网线,联网后,该程序又出现了。
我把此程序删除后,新建一个空的txt文档,把名字改成jh1e.exe这次我想 就不会有了。结果重启竟然又出现个jh1f.exe 的文件在运行。
我顿时无语。
2、回想
我回想 这种情况是从什么时候开始的呢?就是这几天 11月18-现在。于是我主动打开了此程序。结果发现了一些东西。下面给图/
于是就差不多这个东西是干什么的了。
jhProtominer<v0.1e> 这应该就是名字和版本号。
接下来 作者 jh
更好的是还有个ypool.net的网址。
我立刻打开此网址 发现是比特币 啊不好意思 是 质数币挖矿的啊。。
xpm矿池啊 尼玛就是 虚拟币啊。
这是我瞬间回想起 我浏览过关于比特币的一些论坛和网站啊 难道是????我想大家已经想到了。。
今天下午在百度帖吧搜索,发现有个人 和我一样的情况,也是浏览过比特币有关的网站才出现jh1*.exe的程序。
3、猜测
我在百度帖吧的质数币吧 发现此贴:http://tieba.baidu.com/p/2493728744
惊人的相似 有没有。。。
原来此东西是挖矿工具啊,只是出现在我们电脑上的是经人修改过的啊。
于是我也在ypool上申请了一个账号,然后按照帖子照做。看下图
和 我账户的状态
说明 已经连接。。但是 此客户端采用了不同的算法。等等。。。就是上图提示的,,所以这个是更改后的挖矿软件。
到现在已经明白了,这个程序是干嘛的了。就是用来挖虚拟币的工具。它是会占用你的cpu和内存。幸好我内存4g 要不内存 也要爆掉了。
这是不是病毒我不知道 但是我认为这确实是病毒,尼玛太坑爹了。
有人 在利用我们这些中招的电脑资源来为他们挖矿!!!!
这绝对是违法的行为!!!!
4、求大神解决
我 对比了出现的jh1e.exe and jh1f.exe的md5 值 是一样的。
这说明只是改了个名字。而此程序的名字应该是以 jh1 为基础 后面加上a-z26个字母。
我不知道它是如何产生的。删除后是如何再回复的。为什么temp文件夹删不掉。你电脑联网之后 才会运行,一个原因是挖矿是要连接服务器的。还有别的原因吗??是不是别人通过你电脑的唯一标识在向你的电脑注入该程序呢??还是在你电脑上留下了什么东西 让它 被删除了之后再次生成??我查了注册表 却没什么发现。现在有这种情况的用户不少了,我谷歌了一下 ,国外也不不少用户出现这种情况,美国,日本都有。
现在 95%的杀毒软件都查不出来。包括 360 小红伞 卡巴斯基等。 查杀结果
http://r.virscan.org/17e0a0e1741ddce4464a3684cc4769a4
现在请看到的大神 帮帮忙,彻底解决这一问题。
5、一些临时解决办法
一、 新建一同名的txt 文档把后缀改成exe 放在c/temp下,如果再生成新的 你再改。
二、据说用360 粉碎后,把阻止其再次生成打上勾,金山也可以/
三、重做系统,
四、通过防火墙设置禁止该文件连接网络
注:本人对此研究不深,如有错误 勿喷。还请大神光顾,今早解决此问题。