win服务器感染photo.scr病毒后的处理方法

 　　当服务器上出现这些文件：photo.scr时，说明你的服务器已经感染了矿机木马。

　　第一次发现这个木马的时候是在上班, 突然发现公司的云服务器上有这个可疑的文件, 它是这样的图标(右边是正常的文件夹):

　　只是一个简单的矿机木马, 技术含量不高, 中了招的朋友可以通过以下步骤删除木马:

　　打开任务管理器, 结束 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 这三个进程. 64的那个不一定有.

　　删除所有磁盘根目录下的 photo.scr 文件.

　　删除 %Temp% 文件夹下的 pools.txt | NsCPUCNMiner32.exe | NsCPUCNMiner64.exe 这三个文件, 64的那个不一定有.

　　(此项步骤可选, 用于防止再次中招) 将 stafftest.ru | www.stafftest.ru | u.lduxnfz.com 这三个地址用hosts屏蔽为127.0.0.1

　　(此项步骤可选, 用于防止再次中招) 将 NsCPUCNMiner32.exe | NsCPUCNMiner64.exe | photo.scr 这三个进程用iHtool工具加入IFEO映像劫持.

　　(此项步骤可选, 用于防止再次中招) 如果你的电脑正在运行 ftp server, 设置一个密码或者用ssl加密(更改端口也可).

最后要说下的是win系统自带的FTP能不安装就别安装它，数据上传方式有很多种方法，比如上传到网盘里在服务器上下载，或者安装一个其他的FTP软件。