Encontrou um processo de mineração de criptografia - como posso me livrar dele? [duplicado]

0

Notou uma pequena diminuição no desempenho, decidiu instalar o explorador de processos descrito aqui: link

Encontrou um processo oculto tomando 80% da CPU e representando o notepad.exe, com esta linha de comando:

"C:\windows\notepad.exe" -c "C:\ProgramData\fWyfnSWdrs\cfgi"

Verificou essa pasta, encontrou algo que parecia com arquivos de configuração, um não pode ser aberto, usado pelo processo, outros têm isso (eu removi o guid do usuário):

{"algo": "cryptonight",
"background": false,
"colors": true,
"retries": 5,
"retry-pause": 5,
"syslog": false,
"print-time": 60,
"av": 0,
"safe": false,
"cpu-priority": null,
"cpu-affinity": null,
"threads": 8,
"pools": [

    {
        "url": "185.144.29.36:5450",
        "user": <GUID HERE, REMOVED BY ME>,
        "pass": "x",
        "keepalive": false,
        "nicehash": false,
        "variant": 1
    }
],
"api": {
    "port": 0,
    "access-token": null,
    "worker-id": null
}
}

Alguns pesquisam e isso parece uma configuração de mineração de criptomoeda. Tentei matar o processo - ele volta imediatamente. Registro verificado para o nome da pasta e serviços do Windows - não consigo encontrar o que começa.

Tentei alguns outros antivírus - eles não o pegaram.

Eu não quero "eliminar a partir de órbita", já que esta máquina não é nada especial, o suficiente seria fazer com que parasse.

Como encontro o que começa e mato?

Eu também gostaria de saber como consegui, os arquivos de configuração são de 20 dias atrás, verifiquei minhas instalações e não consigo ver nada a partir daquele momento. Quaisquer dicas / links sobre como descobrir isso são apreciados.

    
por Alex_404 11.07.2018 / 22:27

2 respostas

1

Se, depois de matar um processo, ele for recriado, o melhor curso de ação será identificar qual processo o recriou.

Uma maneira de fazer isso é usar o Process Explorer da Sysinternals / Microsoft para estabelecer qual é o processo pai. No entanto, se o processo pai também estiver sendo encerrado para entender esse relacionamento, use Process Monitor para registrar o pai / relacionamento infantil ao longo do tempo seria uma boa opção. Por exemplo:

  1. Faça o download do Process Monitor e inicie a captura.
  2. Mate o processo, seja no Gerenciador de tarefas ou usando o Process Explorer .
  3. Aguarde que o processo seja recriado.
  4. Pare de capturar o Process Monitor (Ctrl-E ou clique no ícone da lupa).
  5. Ctrl-T ou 'Ferramentas' - 'Árvore de processos' exibirá uma árvore de processos que você pode usar para encontrar o processo em questão e identificar o processo que o criou.

Notas: Se o processo pai estiver sempre em execução, observando caso o processo filho saia / seja eliminado antes de ser iniciado novamente e, da mesma forma, o filho observe o pai. Um truque que pode ser útil é usar o Process Explorer para suspender o processo pai e filho antes de matar os dois. Isso pode permitir que você exclua os arquivos.

    
por 11.07.2018 / 23:17
0

Se um processo foi morto, comece de novo, a única opção que você tem é matá-lo.

Você pode descobrir a localização do aplicativo Abrindo o local do arquivo e excluindo-o. Se falhar, por causa do arquivo estar sendo aberto, você pode tentar matá-lo e tentar excluir / renomear rapidamente.

Se isso ainda falhar, a única opção que você tem é ir para o modo de segurança e, em seguida, excluir o arquivo em si.

BUT ... Apenas para ter certeza de que tudo está bem, tente abrir "run" e digite msconfig, vá para serviços, "Hide all microsoft services" e kill qualquer serviço que pareça suspeito para você.

Procure também na guia de inicialização. Em seguida, vá para o local do arquivo e exclua você mesmo, se você encontrar um.

Mas isso não é necessário dizer que seu PC já está comprometido.

Eu iria assustá-lo dizendo Hackers tem seu computador sob seu controle, mas não, a sério, depois de adicionar um backdoor, você deve reinstalar o seu PC. Eu não vou dizer o seu seguro depois de fazer isso, mas o que podemos fazer sobre isso. Nós não podemos simplesmente jogar o nosso PC fora.

Você deve obter um antivírus decente antes que isso aconteça. Dessa forma, de certa forma, você pode impedir que isso aconteça novamente.

-Chibi

    
por 11.07.2018 / 23:43