[바이러스] XMRig CPU miner 수동제거

특정 프로그램이 CPU를 엄청 잡아먹으면서 컴퓨터가 느려지는 현상 발생

작업관리자에서 제거가 안되고 계속 새로 생성된다

아래 그림에서 teamc.exe와 VMware.exe가 XMRig 바이러스다. 또 다른 파일들도 있고 파일명은 다를수 있다. 

수동제거방법:

랜선을 뽑아서 인터넷연결을 끊고 아래와 같은 작업 진행. 파일이 삭제안되면 안전모드에서 삭제.

1. 주범은 레지스트리 아래 경로에 있는 실행파일이 컴퓨터가 시작될 때마다 quser.exe가 자동 실행됨. 이 ADSL Dial 레지스트리 항목을 삭제. 

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run or HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run. 

2. C:\ProgramData폴더에 있는 exe와 bat파일들을 삭제 (보기에서 숨김파일 표시해야 됨)

   smss.bat 편집 열어보시면 채굴관련 명령이 보임. 나오는 주소로 바이러스 배포자를 찾을수 있을가? 궁금함. 시간날때 연구해볼 생각임.

3. 윈도우 서비스에 들어가 보면 아래와 같이 가짜 서비스 Task Schoduler가 설치되어 있음. 정상서비스명은 Task Scheduler이다.

   연결된 바이러스 파일은 C:\Windows\Logs\svchost.exe다. Task Schoduler서비스를 Stop 및 Disabled한후 이 파일을 삭제.

   cohnost.exe 이 파일도 있으면 같이 삭제해야 됨.

   C:\Windows\Help폴더안에도 cohnost.exe와 svchost.exe가 있으서 삭제함.

4. C:\Windows\System32폴더에 보면 win.bat, win.dat와 ftp.bat, ftp.txt 이렇게 쌍으로 있다.

   우측클릭 편집 열어봐서 아래와 같은 내용이 있으면 둘다 삭제.