注意到性能略有下降,决定安装此处描述的进程资源管理器: https://security.stackexchange.com/questions/76100/how-to-find-processes-that-are-hidden-from-task-manager
发现一个隐藏进程占用了 80% 的 CPU 并冒充 notepad.exe,使用以下命令行:
"C:\windows\notepad.exe" -c "C:\ProgramData\fWyfnSWdrs\cfgi"
检查了该文件夹,发现一些看起来像配置文件的东西,一个无法打开,被进程使用,其他的有这个(我已经删除了用户指南):
{"algo": "cryptonight",
"background": false,
"colors": true,
"retries": 5,
"retry-pause": 5,
"syslog": false,
"print-time": 60,
"av": 0,
"safe": false,
"cpu-priority": null,
"cpu-affinity": null,
"threads": 8,
"pools": [
{
"url": "185.144.29.36:5450",
"user": <GUID HERE, REMOVED BY ME>,
"pass": "x",
"keepalive": false,
"nicehash": false,
"variant": 1
}
],
"api": {
"port": 0,
"access-token": null,
"worker-id": null
}
}
谷歌搜索后发现这看起来像是加密货币挖掘设置。尝试终止进程 - 它立即恢复。检查文件夹名称和 Windows 服务的注册表 - 找不到启动它的内容。
尝试了其他几种防病毒软件 - 它们都没有检测到它。
我不想“从轨道上用核武器摧毁它”,因为这台机器没什么特别的,只要让它停下来就足够了。
我如何找到导致此问题的原因并将其消除?
我还想知道我是怎么得到它的,配置文件是 20 天前的,检查了我的安装,没有看到那时的任何内容。任何关于如何解决这个问题的提示/链接都将不胜感激。
答案1
如果在终止一个进程之后该进程又重新创建,那么最好的做法是确定哪个进程重新创建了它。
一种方法是使用进程探索器来自 Sysinternals/Microsoft 以确定哪个是父进程。但是,如果父进程也被终止以了解这种关系,那么使用进程监控记录一段时间内的父母/子女关系是一个不错的选择。例如:
- 下载进程监控并开始捕捉。
- 从任务管理器或使用终止进程进程探索器。
- 等待进程重新创建。
- 停止进程监视器捕获(Ctrl-E 或单击放大镜图标)。
- Ctrl-T 或“工具”-“进程树”将显示一个进程树,您可以使用它来查找相关进程并识别创建该进程的进程。
注意:如果父进程始终在运行,请在重新启动子进程之前观察子进程是否退出/被终止,同样,子进程也要观察父进程。一个可能有用的技巧是使用 Process Explorer 暂停父进程和子进程,然后再终止它们。这样您就可以删除文件。
答案2
如果某个进程被终止,然后重新启动,您唯一的选择就是将其终止至其核心。
您可以通过打开文件位置并删除它来确定应用程序的位置。如果由于文件正在打开而失败,您可以尝试终止它并快速尝试删除/重命名它。
如果仍然失败,您唯一的选择就是进入安全模式,然后删除文件本身。
但...为了确保一切正常,请尝试打开“运行”并输入 msconfig,转到服务,“隐藏所有 Microsoft 服务”并终止任何看起来可疑的服务。
还要查看启动选项卡。然后转到文件位置并自行删除它们(如果找到的话)。
但不言而喻的是,您的电脑已经受到了威胁。
我会用黑客已经控制了你的电脑来吓唬你,但事实并非如此,一旦他们添加了后门,你就应该重新安装你的电脑。我不会说这样做之后你就安全了,但我们能做些什么呢?我们不能把我们的电脑扔掉。
你应该在这种情况发生之前购买一款不错的防病毒软件。这样,你就可以防止这种情况再次发生。
—赤壁