Einen Krypto-Mining-Prozess gefunden - wie kann ich ihn loswerden?

713
Alex_404

Nach einem geringfügigen Leistungsabfall hat sich der hier beschriebene Prozess-Explorer entschieden: https://security.stackexchange.com/questions/76100/how-to-find-processes-that-are-hidden-from-task-manager

Mit dieser Befehlszeile wurde ein verborgener Prozess gefunden, der 80% der CPU beansprucht und notepad.exe imitiert:

"C:\windows\notepad.exe" -c "C:\ProgramData\fWyfnSWdrs\cfgi"

Hat diesen Ordner überprüft, etwas gefunden, das wie Konfigurationsdateien aussieht, eine kann nicht geöffnet werden, wird von Prozess verwendet, andere haben Folgendes (Ich habe die Benutzer-GUID entfernt):

{"algo": "cryptonight", "background": false, "colors": true, "retries": 5, "retry-pause": 5, "syslog": false, "print-time": 60, "av": 0, "safe": false, "cpu-priority": null, "cpu-affinity": null, "threads": 8, "pools": [  { "url": "185.144.29.36:5450", "user": <GUID HERE, REMOVED BY ME>, "pass": "x", "keepalive": false, "nicehash": false, "variant": 1 } ], "api": { "port": 0, "access-token": null, "worker-id": null } }

Einige googeln und das sieht aus wie das Mining-Setup für Kryptowährung. Ich habe versucht, den Prozess zu beenden - er kommt sofort zurück. Geprüfte Registrierung für den Ordnernamen und die Windows-Dienste - es kann nicht gefunden werden, was gestartet wird.

Ich habe ein paar andere Antivirenprogramme ausprobiert - sie greifen es nicht auf.

Ich möchte es nicht "aus dem Orbit" abfeuern, da diese Maschine nichts Besonderes ist, genug, um sie einfach zum Stillstand zu bringen.

Wie finde ich heraus, was beginnt und töte es?

Ich möchte auch wissen, wie ich es bekommen habe, die Konfigurationsdateien stammen von vor 20 Tagen, haben meine Installationen überprüft und können aus dieser Zeit nichts mehr sehen. Alle Tipps / Links, wie Sie dies herausfinden können, sind willkommen.

0
Ich würde Process Monitor ausführen - https://docs.microsoft.com/de-de/sysinternals/downloads/procmon. Von dort aus können Sie den übergeordneten Prozess sehen, mit dem er gestartet wird. Wenn es einen anderen "Watchdog" -Prozess gibt. Vielleicht könnten Sie die Option zum Anhalten des Prozesses in Process Explorer verwenden, um das Paar zu "töten"? HelpingHand vor 6 Jahren 0
Was meinen Sie mit "ein paar Antiviren-Programme ausprobiert"? Läuft auf Ihrem Computer ein aktives und Echtzeit-Antivirus-Programm? Welche anderen Tools haben Sie verwendet? Wahrscheinlich geschieht es, dass ein anderer Prozess den Kryptomining-Prozess überwacht und neu startet. Dieser Watcher-Prozess könnte auch einen eigenen Watcher haben. Manchmal verstecken sich diese Beobachter (sie können wirklich sehr schlau sein). music2myear vor 6 Jahren 0
Das Problem hier ist, dass Sie ein aktives unerwünschtes Programm auf Ihrem Computer haben, das einen tiefen Systemzugriff erhalten hat. Ihr Computer ist vollständig gefährdet und sollte nicht erneut als vertrauenswürdig eingestuft werden. Es ist sogar möglich, dass der Virus Zugriff auf eine Stufe erlangt hat, die bei einem vollständigen Löschen und Zurücksetzen des Systems nicht entfernt wird. Dies ist jedoch weniger wahrscheinlich. Ich würde dringend empfehlen, dass Sie Dateien sichern, die Sie speichern möchten, und dann die Festplatte vollständig löschen und Windows neu installieren. Dies ist die beste und sicherste Vorgehensweise unter den von Ihnen beschriebenen Symptomen. music2myear vor 6 Jahren 0
Darüber hinaus wird Windows 7 nicht mehr aktiv von Microsoft unterstützt und Sie müssen es ersetzen. Ihr Computer wird immer anfälliger für Viren und Malware, je länger die Software veraltet ist. Wenn Sie keine neuere Windows-Lizenz erwerben möchten, gibt es andere realisierbare Optionen, die ohne die hohen Kosten modern und leistungsfähig bleiben, z. B. Linux. music2myear vor 6 Jahren 0
"Windows 7 wird von Microsoft nicht mehr aktiv unterstützt und muss ersetzt werden." - Das ist falsch. Sie sind möglicherweise nicht in der Lage, Microsoft um Unterstützung zu bitten, aber Sie hätten dies auch für ein Problem wie dieses kostenlos tun können. Der erweiterte Windows 7-Support endet nicht vor dem 14. Januar 2020 Ramhound vor 6 Jahren 0
Wie Sie dieses Problem lösen. Ich würde einen neuen Administratorbenutzer erstellen und sehen, ob die schädliche Datei unter einem neuen Profil gestartet wird. Aktualisieren Sie Ihre Frage mit den relevanten Informationen, wenn Sie dies getan haben. Ramhound vor 6 Jahren 0
@HelpingHand - danke, hab das bekommen und es hat gezeigt, was es angefangen hat. Sie sollten es wahrscheinlich zu einer Antwort machen. Alex_404 vor 6 Jahren 0

2 Antworten auf die Frage

1
HelpingHand

Wenn ein Prozess nach dem Beenden eines Prozesses neu erstellt wird, besteht die beste Vorgehensweise darin, zu ermitteln, welcher Prozess ihn neu erstellt hat.

Eine Möglichkeit, dies zu tun, besteht darin, Process Explorer von Sysinternals / Microsoft zu verwenden, um den übergeordneten Prozess festzulegen. Wenn der übergeordnete Prozess jedoch auch beendet wird, um diese Beziehung zu verstehen, wäre die Verwendung von Process Monitor zur Aufzeichnung der übergeordneten / untergeordneten Beziehung über die Zeit eine gute Option. Zum Beispiel:

  1. Laden Sie Process Monitor herunter und starten Sie die Aufnahme.
  2. Beenden Sie den Prozess entweder über den Task-Manager oder über den Process Explorer .
  3. Warten Sie, bis der Prozess neu erstellt wurde.
  4. Stoppen Sie die Prozessmonitoraufnahme (Strg-E oder klicken Sie auf das Lupensymbol).
  5. Strg-T oder 'Tools' - 'Process Tree' zeigt einen Prozessbaum an, mit dem Sie den fraglichen Prozess suchen und den Prozess identifizieren können, mit dem er erstellt wurde.

Hinweise: Wenn der übergeordnete Prozess immer ausgeführt wird, müssen Sie darauf achten, ob der untergeordnete Prozess beendet wird / beendet wird, bevor Sie ihn erneut starten und das untergeordnete Element den übergeordneten Prozess überwacht. Ein Trick, der möglicherweise hilfreich ist, besteht darin, Process Explorer zu verwenden, um den übergeordneten und den untergeordneten Prozess zu unterbrechen, bevor sie beide beendet werden. Dadurch können Sie die Dateien dann löschen.

0
Sazeim Saheem

Wenn ein Prozess beendet wurde, starten Sie ihn erneut. Die einzige Option, die Sie haben, besteht darin, ihn bis in den Kern zu töten.

Sie können den Ort der App ermitteln, indem Sie den Dateispeicherort öffnen und löschen. Wenn dies fehlgeschlagen ist, weil die Datei gerade geöffnet wird, können Sie versuchen, die Datei zu beenden und schnell zu löschen oder umzubenennen.

Wenn dies immer noch fehlschlägt, besteht die einzige Möglichkeit darin, in den abgesicherten Modus zu wechseln und dann die Datei selbst zu löschen.

ABER ... Um sicherzugehen, dass alles in Ordnung ist, öffnen Sie "run" und geben Sie msconfig ein, gehen Sie zu Dienste, "Alle Microsoft-Dienste ausblenden" und beenden Sie alle Dienste, die Ihnen verdächtig erscheinen.

Schauen Sie sich auch die Start-Registerkarte an. Gehen Sie dann zum Dateispeicherort und löschen Sie diese selbst, falls Sie einen gefunden haben.

Dies ist jedoch selbstverständlich, dass Ihr PC bereits gefährdet ist.

Ich würde Sie erschrecken, indem Sie sagen, dass Hacker Ihren Computer unter Kontrolle haben, aber nein, ernsthaft, sobald sie eine Hintertür hinzugefügt haben, sollten Sie Ihren PC neu installieren. Ich werde nicht sagen, dass Sie sicher sind, aber was können wir dagegen tun? Wir können unseren PC nicht einfach wegwerfen.

Sie sollten ein anständiges Antivirus-Programm erhalten, bevor dies geschieht. Auf diese Weise können Sie in gewisser Weise verhindern, dass dies erneut geschieht.

-Chibi

Verwandte Probleme