Нашел процесс крипто - майнинга-как от него избавиться? [дубликат]

этот вопрос уже есть ответ здесь:

заметил некоторое незначительное снижение производительности, решил установить Process explorer описано здесь:
https://security.stackexchange.com/questions/76100/how-to-find-processes-that-are-hidden-from-task-manager

нашел скрытый процесс, занимающий 80% процессора и олицетворяющий Блокнот.exe, с помощью командной строки:

"C:windowsnotepad.exe" -c "C:ProgramDatafWyfnSWdrscfgi"

проверил эту папку, нашел что-то похожее на конфигурационные файлы, один не может открыть, используется процессом, у других есть это (я удалил guid пользователя):

{"algo": "cryptonight",
"background": false,
"colors": true,
"retries": 5,
"retry-pause": 5,
"syslog": false,
"print-time": 60,
"av": 0,
"safe": false,
"cpu-priority": null,
"cpu-affinity": null,
"threads": 8,
"pools": [

    {
        "url": "185.144.29.36:5450",
        "user": <GUID HERE, REMOVED BY ME>,
        "pass": "x",
        "keepalive": false,
        "nicehash": false,
        "variant": 1
    }
],
"api": {
    "port": 0,
    "access-token": null,
    "worker-id": null
}
}

некоторые Google, и это выглядит как добыча криптовалюты установка.
Пытались убить процесс-он возвращается немедленно. Проверил регистр для имени папки и служб windows-не могу найти то, что запускает его.

пробовал пару других антивирусов - они его не берут.

Я не хочу "взорвать его с орбиты", так как эта машина ничего особенного, достаточно было бы просто остановить ее.

Как я могу найти то, что начинается это и убить его?

Я также хотел бы знать, как я понял, файлы конфигурации из 20 дней назад, проверил мои установки и ничего не вижу с того времени. Любые советы/ссылки о том, как это выяснить, приветствуются.

1
задан Alex_404
28.12.2022 7:26 Количество просмотров материала 2797
Распечатать страницу

2 ответа

Если после убийства процесса он воссоздается, то лучший курс действий, чтобы определить, какой процесс воссоздал его.

один из способов сделать это-использовать Process Explorer из Sysinternals / Microsoft для установления родительского процесса. Однако, если родительский процесс также завершается, чтобы понять эту связь, используйте Контролировать Процесс для записи отношения родитель / ребенок с течением времени было бы хорошим вариантом. Для пример:

  1. скачать Контролировать Процесс и начать его захват.
  2. убить процесс из Диспетчера задач или с помощью Process Explorer.
  3. дождитесь повторного создания процесса.
  4. остановить захват монитора процесса (Ctrl-E или щелкните значок увеличительного стекла).
  5. Ctrl-T или 'Tools' - 'Process Tree' отобразит дерево процессов, которое вы можете использовать, чтобы найти процесс в вопросе и определить процесс, который его создал.

Примечания: если родительский процесс всегда работает, наблюдая в случае, если дочерний процесс выходит / убит, прежде чем повторно запустить его, а также ребенок наблюдает за родителем. Один трюк, который может быть полезным, чтобы использовать Process Explorer, чтобы приостановить Родительский и дочерний процесс, прежде чем убить их обоих. Это может позволить вам удалить файлы.

1
отвечен HelpingHand 2022-12-29 15:14

Если процесс был убит, а затем начать снова, единственный вариант, который у вас есть, чтобы убить его к его ядру.

вы можете определить местоположение приложения открыть расположение файла и удалить его. Если это не удалось, из-за файла открывается, вы можете попытаться убить его и быстро попытаться удалить/переименовать его.

Если это все еще не удается, единственный вариант, у вас есть, чтобы перейти в безопасный режим, а затем удалить файл себя.

но... просто чтобы убедиться, что все в порядке, попробуйте открыть " run "и введите msconfig, перейдите в раздел" службы", "скрыть все службы microsoft" и убить любые службы, которые выглядят подозрительно для вас.

и посмотрите на вкладку Автозагрузка. Затем перейдите в расположение файла и удалите их самостоятельно, если вы его нашли.

но это само собой разумеется, что ваш компьютер уже скомпрометирован.

Я бы напугать вас, говоря хакеров получил ваш компьютер под их контролем, но нет, серьезно, как только они добавляют бэкдор, вы должны переустановить компьютер. Я не скажу, что ваш сейф после этого, но что мы можем с этим поделать. Мы не можем просто выбросить наш компьютер.

вы должны получить достойный антивирус, прежде чем это произойдет. Таким образом, Вы сможете предотвратить повторение этого.

- Chibi

0
отвечен Sazeim Saheem 2022-12-29 17:31

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх