Это произошло после того, как я удалил все точки восстановления системы, чтобы сэкономить дисковое пространство на моем 60 ГБ SSD, и запустил сканирование MBAM днем ранее. Вчера я скачал видеофайл, который не воспроизводился, хотя все метаданные в нем были правильными. Я отклонил это и загрузил другую версию. Примерно через 2 часа на меня кричали окна, потому что DllHost.exe использовал почти всю мою оперативную память. Я убил его и пришел к выводу, что DLL, использованная для создания миниатюр, была скомпрометирована предположительно поврежденным файлом. Я попытался удалить видео, и оно сразу же вернулось с установленными разрешениями, чтобы я больше не мог его удалить. Я попытался войти в систему как учетная запись администратора (которая обычно отключена, но без пароля), чтобы обнаружить, что пароль был установлен. Я подключил диск к Raspberry Pi, чтобы обойти разрешения Windows, и успешно удалил файл. Затем я снова вошел в свой компьютер, и вскоре Windows Explorer использовал около 4 ГБ моей оперативной памяти. Я убил его и попытался заменить его резервной копией, но у меня не было прав на переименование, которое у меня было раньше. Я перезапустил проводник, и ничего необычного не произошло, и мой компьютер вел себя нормально до конца ночи.

Я включил его этим утром, немного подумав, и теперь svchost.exe использовал огромное количество памяти. Ни одна из служб, работающих под ним, не была ненормальной, поэтому я убил его дерево, и оно вернулось, как и ожидалось, но с использованием обычного количества памяти. Примерно через 5 минут он внезапно снова поднялся. Я установил BitDefender и сказал ему сканировать explorer.exe. Он перестал работать, и когда я перезапустил его не было GUI. Я сказал приложению выйти, и все признаки исчезли, но процесс все еще продолжался, и использование оперативной памяти начало расти. Я попытался убить его, но диспетчер задач сказал, что у меня недостаточно прав для остановки процесса, и теперь в качестве его пользователя указан SYSTEM. Это кажется слишком умным, чтобы быть "обычным" вредоносным ПО, и я не вижу никакого эффекта от него, кроме использования огромных объемов памяти. Он делает это, когда не подключен к Интернету, поэтому я не думаю, что он отправляет мои данные.

Теперь я отключил накопитель данных и выключил компьютер. Мне нужно знать, если это что-то, что можно исправить, или мой лучший вариант - стереть мой SSD и переустановить Windows.

У меня есть другая машина с Windows, которую я могу использовать в случае крайней необходимости, но в противном случае мне понадобится мой компьютер к субботе.

1 ответ1

0

Лучший вариант, который я могу предложить, - включить представление командной строки в диспетчере задач.

  • Удерживайте CTRL+SHIFT и нажмите ESC.
  • Перейти к «подробности».
  • Щелкните правой кнопкой мыши на верхней панели, где перечислены имена столбцов. («Имя», «PID» и т.д.)
  • Выберите «Выбрать столбцы».
  • Проверьте «командную строку».

Отсюда я бы внимательно посмотрел на командные строки, на которых работают ваши системные программы. Общей чертой вирусов Bitcoin Miner является скрытие в подозрительном каталоге (например, C:\hgfjkhjfk) и присвоение им имени что-то вроде svchost.exe, чтобы избежать захвата.

Если вы включите представление командной строки, вы сразу увидите, запускаете ли вы майнер (не говоря уже о других неприятностях), потому что вы увидите все параметры, переданные программой командной строки. Если вы видите переключатели, которые указывают на то, что ваша машина используется для майнинга биткойнов, найдите местоположение файла и отключите его.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .