关于jh1d.exe,jh1d.exe,jh1f.exe以及其他变种的“病毒”的研究及临时解决方案（或是求救）

1、事件描述

最近电脑莫名其妙的突然巨卡，打开任务管理器发现 有个名叫 jh1e.exe的程序在运行，cpu占用率90%-100%，内存 2056.6MB左右。

果断查看其位置，然后杀掉进程。发现它在c盘的temp文件夹下。可奇怪的是我把那个exe删除后，temp文件夹却不能删除，因为删除后一刷新又出现了。

这时我意识到 我的电脑中毒了。但是我一直用的卡巴斯基啊，为啥没提示呢？然后我又用了小红伞和360 都查不出来。

第二次开机，没有出现上述情况，但是插上网线，联网后，该程序又出现了。

我把此程序删除后，新建一个空的txt文档，把名字改成jh1e.exe这次我想 就不会有了。结果重启竟然又出现个jh1f.exe 的文件在运行。

我顿时无语。

 

2、回想

 

我回想 这种情况是从什么时候开始的呢？就是这几天 11月18-现在。于是我主动打开了此程序。结果发现了一些东西。下面给图/

 

于是就差不多这个东西是干什么的了。

jhProtominer<v0.1e> 这应该就是名字和版本号。

接下来 作者 jh

更好的是还有个ypool.net的网址。

我立刻打开此网址 发现是比特币 啊不好意思 是 质数币挖矿的啊。。

xpm矿池啊 尼玛就是 虚拟币啊。

这是我瞬间回想起 我浏览过关于比特币的一些论坛和网站啊  难道是？？？？我想大家已经想到了。。

今天下午在百度帖吧搜索，发现有个人 和我一样的情况，也是浏览过比特币有关的网站才出现jh1*.exe的程序。

3、猜测

我在百度帖吧的质数币吧 发现此贴：http://tieba.baidu.com/p/2493728744

 

惊人的相似 有没有。。。

原来此东西是挖矿工具啊，只是出现在我们电脑上的是经人修改过的啊。

于是我也在ypool上申请了一个账号，然后按照帖子照做。看下图

和 我账户的状态

说明 已经连接。。但是 此客户端采用了不同的算法。等等。。。就是上图提示的，，所以这个是更改后的挖矿软件。

到现在已经明白了，这个程序是干嘛的了。就是用来挖虚拟币的工具。它是会占用你的cpu和内存。幸好我内存4g 要不内存 也要爆掉了。

这是不是病毒我不知道 但是我认为这确实是病毒，尼玛太坑爹了。

有人 在利用我们这些中招的电脑资源来为他们挖矿！！！！

这绝对是违法的行为！！！！

4、求大神解决

我 对比了出现的jh1e.exe and jh1f.exe的md5 值  是一样的。

这说明只是改了个名字。而此程序的名字应该是以 jh1 为基础 后面加上a-z26个字母。

我不知道它是如何产生的。删除后是如何再回复的。为什么temp文件夹删不掉。你电脑联网之后 才会运行，一个原因是挖矿是要连接服务器的。还有别的原因吗？？是不是别人通过你电脑的唯一标识在向你的电脑注入该程序呢？？还是在你电脑上留下了什么东西 让它 被删除了之后再次生成？？我查了注册表 却没什么发现。现在有这种情况的用户不少了，我谷歌了一下 ，国外也不不少用户出现这种情况，美国，日本都有。

现在 95%的杀毒软件都查不出来。包括 360 小红伞 卡巴斯基等。 查杀结果

http://r.virscan.org/17e0a0e1741ddce4464a3684cc4769a4 

现在请看到的大神 帮帮忙，彻底解决这一问题。

5、一些临时解决办法

一、 新建一同名的txt 文档把后缀改成exe 放在c/temp下，如果再生成新的 你再改。

二、据说用360 粉碎后，把阻止其再次生成打上勾，金山也可以/

三、重做系统，

四、通过防火墙设置禁止该文件连接网络

 

 

 

 

注：本人对此研究不深，如有错误 勿喷。还请大神光顾，今早解决此问题。