Заметив небольшое снижение производительности, решил установить обозреватель процессов, описанный здесь:https://security.stackexchange.com/questions/76100/how-to-find-processes-that-are-hidden-from-task-manager

Обнаружил скрытый процесс, занимающий 80% ЦП и имитирующий notepad.exe, с помощью этой командной строки:

"C:\windows\notepad.exe" -c "C:\ProgramData\fWyfnSWdrs\cfgi"

Проверил эту папку, нашел что-то, похожее на файлы конфигурации, один не может открыться, используется процессом, другие имеют это (я удалил руководство пользователя):

{"algo": "cryptonight",
"background": false,
"colors": true,
"retries": 5,
"retry-pause": 5,
"syslog": false,
"print-time": 60,
"av": 0,
"safe": false,
"cpu-priority": null,
"cpu-affinity": null,
"threads": 8,
"pools": [

    {
        "url": "185.144.29.36:5450",
        "user": <GUID HERE, REMOVED BY ME>,
        "pass": "x",
        "keepalive": false,
        "nicehash": false,
        "variant": 1
    }
],
"api": {
    "port": 0,
    "access-token": null,
    "worker-id": null
}
}

Некоторый поиск в Google, и это похоже на настройку майнинга криптовалюты. Пытался убить процесс - он сразу возвращается. Проверено зарегистрироваться на имя папки и службы Windows - не могу найти то, что запускает его.

Попробовал пару других антивирусов - они не подхватывают.

Я не хочу "сбивать его с орбиты", так как в этой машине нет ничего особенного, достаточно просто остановить ее.

Как мне найти то, что начинает это и убить это?

Я также хотел бы знать, как я получил это, файлы конфигурации взяты 20 дней назад, проверили мои установки и ничего не видят с того времени. Любые советы / ссылки о том, как это понять, приветствуются.

|источник

2 ответа2

1

Если после уничтожения процесса он воссоздается, то лучшим способом будет определить, какой процесс его создал заново.

Один из способов сделать это - использовать Process Explorer от Sysinternals/Microsoft, чтобы определить, кто является родительским процессом. Однако, если родительский процесс также завершается, чтобы понять эту связь, то использование Process Monitor для записи родительских / дочерних отношений с течением времени будет хорошим вариантом. Например:

  1. Загрузите Process Monitor и начните его захват.
  2. Завершите процесс, либо из диспетчера задач, либо с помощью Process Explorer.
  3. Подождите, пока процесс будет создан заново.
  4. Остановите захват монитора процесса (Ctrl-E или щелкните значок увеличительного стекла).
  5. Ctrl-T или «Инструменты» - «Дерево процессов» отобразит дерево процессов, которое вы можете использовать, чтобы найти рассматриваемый процесс и идентифицировать процесс, который его создал.

Примечания: Если родительский процесс всегда запущен, проследите за тем, чтобы дочерний процесс завершился / был убит, прежде чем перезапускать его, а также дочерний процесс следит за родителем. Один прием, который может быть полезен, - это использовать Process Explorer, чтобы приостановить родительский и дочерний процессы, прежде чем убить их обоих. Это может затем позволить вам удалить файлы.

|источник
0

Если процесс был убит, то запустите снова, единственная опция, которую вы имеете, - это УБИТЬ его до его ядра.

Вы можете определить местоположение приложения, открыв местоположение файла и удалив его. Если это не удалось из-за открытия файла, вы можете попытаться убить его и быстро попытаться удалить / переименовать.

Если это не помогло, единственный вариант - перейти в безопасный режим, а затем удалить сам файл.

НО... Просто чтобы убедиться, что все в порядке, попробуйте открыть "run" и набрать msconfig, зайти в службы, "Скрыть все службы Microsoft" и убить все службы, которые кажутся вам подозрительными.

Также посмотрите на вкладку запуска. Затем перейдите в папку с файлами и удалите их самостоятельно, если вы их нашли.

Но само собой разумеется, что ваш компьютер уже взломан.

Я бы напугал вас, сказав, что хакеры взяли ваш компьютер под контроль, но нет, серьезно, как только они добавят бэкдор, вам следует переустановить компьютер. После этого я не скажу ваш сейф, но что мы можем с этим поделать. Мы не можем просто выбросить наш компьютер.

Вы должны получить приличный антивирус, прежде чем это произойдет. Таким образом, таким образом, вы можете предотвратить это снова.

-Chibi

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .