在我删除了所有系统还原点以节省 60GB SSD 上的磁盘空间并在前一天运行 MBAM 扫描后,发生了这种情况。昨天我下载了一个无法播放的视频文件,尽管它的所有元数据都是正确的。我将其删除并下载了另一个版本。大约 2 小时后,Windows 向我发出警告,因为 DllHost.exe 使用了我几乎所有的 RAM。我关闭了它,并得出结论,用于生成缩略图的 dll 已被据称损坏的文件破坏。我试图删除视频,它立即恢复了权限设置,所以我无法再删除它。我尝试以管理员帐户(通常已禁用,但没有密码)登录,发现已设置密码。我将磁盘插入我的 Raspberry Pi 以绕过 Windows 权限并成功删除了该文件。然后我重新登录到我的电脑,很快 Windows 资源管理器就使用了大约 4GB 的 RAM。我关闭了它并试图用备份替换它,但没有重命名它的权限,而我以前有这个权限。我重新启动了资源管理器,没有发生任何异常,并且我的电脑在当晚的剩余时间内运行正常。
经过一番思考,我今天早上打开了它,现在 svchost.exe 占用了大量的内存。它下面运行的服务都没有异常,所以我关闭了它的树,它又恢复了正常,但占用了正常数量的内存。大约 5 分钟后,它突然又飙升了。我安装了 BitDefender 并告诉它扫描 explorer.exe。它停止工作,当我重新启动时,它没有 GUI。我告诉应用程序退出,它的所有迹象都消失了,但进程仍在运行,RAM 使用率开始上升。我试图杀死它,但任务管理器说我没有足够的权限来停止该进程,现在它的用户列为 SYSTEM。它似乎太聪明了,不像是“普通”恶意软件,除了占用大量内存外,我看不出它有什么影响。它在没有连接到互联网时这样做,所以我不认为它在发送我的数据。
我现在已经禁用了数据驱动器并关闭了计算机。我需要知道这是否可以修复,或者我的最佳选择是擦除 SSD 并重新安装 Windows。
我确实有另一台 Windows 机器可以在极其必要时使用,但除此之外,我需要在周六之前拿回我的电脑。
答案1
我能建议的最佳选择是在任务管理器中启用命令行视图。
- 按住 CTRL+SHIFT 并点击 ESC。
- 转至‘详细信息’。
- 右键单击列出列名称的顶部栏。(“名称”、“PID”等)
- 选择‘选择列’。
- 检查‘命令行’。
从这里开始,我将仔细查看系统程序正在运行的命令行。比特币矿工病毒的一个常见特征是隐藏在可疑目录中(例如 C:\hgfjkhjfk),并将自己命名为进程管理器以逃避抓捕。
如果您启用命令行视图,您将立即看到您是否正在运行挖矿程序(更不用说其他恶意程序了),因为您将看到命令行程序已传递的所有参数。如果您看到的开关表明您的机器正在用于挖掘比特币,请找到该文件的位置并将其清除。