Нашел криптовалютный процесс - как мне от него избавиться?

434
Alex_404

Заметив небольшое снижение производительности, решил установить обозреватель процессов, описанный здесь: https://security.stackexchange.com/questions/76100/how-to-find-processes-that-are-hidden-from-task-manager

Обнаружил скрытый процесс, занимающий 80% ЦП и олицетворяющий notepad.exe, с помощью этой командной строки:

"C:\windows\notepad.exe" -c "C:\ProgramData\fWyfnSWdrs\cfgi" 

Проверил эту папку, нашел что-то, похожее на файлы конфигурации, один не может открыться, используется процессом, другие имеют это (я удалил руководство пользователя):

{"algo": "cryptonight", "background": false, "colors": true, "retries": 5, "retry-pause": 5, "syslog": false, "print-time": 60, "av": 0, "safe": false, "cpu-priority": null, "cpu-affinity": null, "threads": 8, "pools": [  { "url": "185.144.29.36:5450", "user": <GUID HERE, REMOVED BY ME>, "pass": "x", "keepalive": false, "nicehash": false, "variant": 1 } ], "api": { "port": 0, "access-token": null, "worker-id": null } } 

Некоторый поиск в Google, и это похоже на настройку майнинга криптовалюты. Пытался убить процесс - он сразу возвращается. Проверено зарегистрироваться на имя папки и службы Windows - не могу найти то, что запускает его.

Попробовал пару других антивирусов - они не подхватывают.

Я не хочу "сбивать его с орбиты", так как в этой машине нет ничего особенного, достаточно просто остановить ее.

Как мне найти то, что начинает это и убить это?

Я также хотел бы знать, как я получил это, файлы конфигурации взяты 20 дней назад, проверили мои установки и ничего не видят с того времени. Любые советы / ссылки о том, как это понять, приветствуются.

0
Я бы запустил Process Monitor - https://docs.microsoft.com/en-us/sysinternals/downloads/procmon, оттуда вы можете увидеть родительский процесс, который его запускает. Если есть еще один «сторожевой» процесс. Может быть, вы могли бы использовать опцию приостановки процесса в Process Explorer, чтобы «убить» пару? HelpingHand 5 лет назад 0
Что вы подразумеваете под "попробовал пару антивирусов"? На вашем компьютере работает активный антивирус, работающий в режиме реального времени? Какие еще инструменты вы использовали? Вероятно, происходит то, что другой процесс наблюдает за процессом криптомайнинга и перезапускает его. Этот процесс наблюдателя также может иметь своего собственного наблюдателя. Иногда эти наблюдатели прячутся (на самом деле они могут быть очень умными). music2myear 5 лет назад 0
Проблема в том, что на вашем компьютере есть активная нежелательная программа, получившая глубокий доступ к системе. Ваш компьютер полностью взломан и ему больше нельзя доверять. Возможно даже, что вирус получил доступ на уровне, который не удалит полная очистка и сброс системы, хотя это менее вероятно. Я настоятельно рекомендую вам сделать резервную копию файлов, которые вы хотите сохранить, а затем полностью стереть жесткий диск и переустановить Windows. Это лучший и самый безопасный способ действий с учетом симптомов, которые вы описали. music2myear 5 лет назад 0
Кроме того, Windows 7 больше не поддерживается Microsoft, и вам необходимо заменить ее. Ваш компьютер будет становиться все более и более уязвимым для вирусов и вредоносных программ, чем дольше у вас устаревшее программное обеспечение. Если вы не хотите приобретать более новую лицензию Windows, есть другие жизнеспособные варианты, которые останутся современными и способными работать без высоких затрат, такие как Linux. music2myear 5 лет назад 0
«Windows 7 больше не поддерживается Microsoft, и вам необходимо заменить ее». - Это неверно. Возможно, вам не удастся позвонить в Microsoft для поддержки, но в любом случае ни один из них не смог бы этого сделать, если бы эта проблема была бесплатной. Расширенная поддержка Windows 7 прекращается до 14 января 2020 г. Ramhound 5 лет назад 0
Что касается того, как вы решаете эту проблему. Я хотел бы создать нового пользователя-администратора и посмотреть, запускается ли вредоносный файл под новым профилем. Обновите свой вопрос с соответствующей информацией, как только вы это сделали. Ramhound 5 лет назад 0
@HelpingHand - спасибо, получил это, и это показало, с чего это началось. Вы, вероятно, должны сделать это ответом. Alex_404 5 лет назад 0

2 ответа на вопрос

1
HelpingHand

Если после уничтожения процесса он воссоздается, то лучшим способом будет определить, какой процесс его создал заново.

Один из способов сделать это - использовать Process Explorer от Sysinternals / Microsoft, чтобы определить, кто является родительским процессом. Однако, если родительский процесс также завершается, чтобы понять эту связь, то использование Process Monitor для записи родительских / дочерних отношений с течением времени будет хорошим вариантом. Например:

  1. Загрузите Process Monitor и начните его захват.
  2. Завершите процесс, либо из диспетчера задач, либо с помощью Process Explorer .
  3. Подождите, пока процесс будет создан заново.
  4. Остановите захват монитора процесса (Ctrl-E или щелкните значок увеличительного стекла).
  5. Ctrl-T или «Инструменты» - «Дерево процессов» отобразит дерево процессов, которое вы можете использовать, чтобы найти рассматриваемый процесс и идентифицировать процесс, который его создал.

Примечания: Если родительский процесс всегда запущен, проследите за тем, чтобы дочерний процесс завершился / был убит, прежде чем перезапускать его, а также дочерний процесс следит за родителем. Один прием, который может оказаться полезным, - это использовать Process Explorer, чтобы приостановить родительский и дочерний процессы, прежде чем убить их обоих. Это может затем позволить вам удалить файлы.

0
Sazeim Saheem

Если процесс был убит, то запустите снова, единственная возможность, которую вы имеете, - это УБИТЬ его до его ядра.

Вы можете определить местоположение приложения, открыв местоположение файла и удалив его. Если это не удалось из-за открытия файла, вы можете попытаться убить его и быстро попытаться удалить / переименовать.

Если это не помогло, единственный вариант - перейти в безопасный режим, а затем удалить сам файл.

НО ... Просто чтобы убедиться, что все в порядке, попробуйте открыть "run" и набрать msconfig, зайти в службы, "Скрыть все службы Microsoft" и убить все службы, которые кажутся вам подозрительными.

Также посмотрите на вкладку запуска. Затем перейдите в папку с файлами и удалите их самостоятельно, если вы их нашли.

Но само собой разумеется, что ваш компьютер уже взломан.

Я бы напугал вас, сказав, что хакеры взяли ваш компьютер под контроль, но нет, серьезно, как только они добавят бэкдор, вам следует переустановить компьютер. После этого я не скажу ваш сейф, но что мы можем с этим поделать. Мы не можем просто выбросить наш компьютер.

Вы должны получить приличный антивирус, прежде чем это произойдет. Таким образом, таким образом, вы можете предотвратить это снова.

-Chibi