Знайшов процес видобутку криптовалют - як я можу його позбутися? [дублікат]

На це питання вже є відповідь тут:

Як я можу видалити з мого ПК шкідливе шпигунське, зловмисне, рекламне програмне забезпечення, віруси, трояни чи руткіти? 19 відповідей

Помітивши незначне зниження продуктивності, вирішив встановити провідник процесів, описаний тут: https://security.stackexchange.com/questions/76100/how-to-find-process-that-are-hidden-from-task-manager

Виявлено прихований процес, що займає 80% процесора та видає себе за себе notepad.exe, за допомогою цього командного рядка:

"C:\windows\notepad.exe" -c "C:\ProgramData\fWyfnSWdrs\cfgi"

Перевірив цю папку, знайшов щось схоже на конфігураційні файли, один нахил відкритий, використовуваний процесом, інші мають таке (я видалив інструкцію користувача):

{"algo": "cryptonight",
"background": false,
"colors": true,
"retries": 5,
"retry-pause": 5,
"syslog": false,
"print-time": 60,
"av": 0,
"safe": false,
"cpu-priority": null,
"cpu-affinity": null,
"threads": 8,
"pools": [

    {
        "url": "185.144.29.36:5450",
        "user": <GUID HERE, REMOVED BY ME>,
        "pass": "x",
        "keepalive": false,
        "nicehash": false,
        "variant": 1
    }
],
"api": {
    "port": 0,
    "access-token": null,
    "worker-id": null
}
}

Деякі гуглінг, і це виглядає як налаштування видобутку криптовалют. Намагався вбити процес - він повертається негайно. Перевірений реєстр для імені папки та служб Windows - не можу знайти те, що запускається.

Спробував пару інших антивірусів - вони не підбирають.

Я не хочу "виганяти його з орбіти", оскільки ця машина не є нічого особливого, достатньо було б просто змусити її зупинитися.

Як я можу знайти, що починається з цього, і вбити його?

Я також хотів би знати, як я це отримав, конфігураційні файли починаються з 20 днів тому, перевіряли мої установки та нічого не бачу з того часу. Вдячні будь-які поради / посилання про те, як це зрозуміти.

windows-7 process-explorer cryptomining

— Alex_404
джерело

Я б запустив Monitor Monitor - docs.microsoft.com/en-us/sysinternals/downloads/procmon , звідти ви побачите батьківський процес, який його запускає. Якщо є ще один «сторожовий» процес. Можливо, ви могли б використати параметр призупинення процесу в «Провіднику процесорів», щоб «вбити» пару?

— HelpingHand

Що ви маєте на увазі під "перепробували пару антивірусів"? Чи працює на вашому комп’ютері активний і в режимі реального часу антивірус? Які ще інструменти ви використовували? Можливо, це те, що інший процес спостерігає за процесом криптовалют і перезапускає його. Цей процес спостерігача також може мати власного спостерігача. Іноді ці спостерігачі ховаються самі (насправді вони можуть бути досить розумними).

— music2myear

Проблема тут полягає в тому, що у вас на комп’ютері є активна небажана програма, яка отримала глибокий доступ до системи. Ваш комп’ютер завершений компрометованим процесом, і йому більше не потрібно довіряти. Можливо навіть, що вірус отримав доступ на рівні, який повне видалення та скидання системи не видалять, хоча це менш ймовірно. Я настійно рекомендую створити резервну копію файлів, які ви хочете зберегти, а потім повністю витерти жорсткий диск і перевстановити Windows. Це найкращий і найбезпечніший спосіб дії з урахуванням описаних вами симптомів.

— music2myear

Крім того, Windows 7 вже не активно підтримується Microsoft, і вам потрібно її замінити. Ваш комп'ютер буде продовжувати ставати все більш вразливим до вірусів та шкідливих програм, чим довше у вас закінчиться застаріле програмне забезпечення. Якщо ви не бажаєте придбати новішу ліцензію Windows, існують інші життєздатні варіанти, які залишаться сучасними та спроможними без великих витрат, наприклад, Linux.

— music2myear

"Microsoft 7 вже не активно підтримується Microsoft, і вам потрібно її замінити." - Це помилково. Можливо, ви не зможете зателефонувати в Microsoft за підтримкою, але жоден з них не міг цього зробити безкоштовно. Розширена підтримка Windows 7 закінчується до 14 січня 2020 року

— Ramhound

Відповіді:

Якщо після вбивства процес він буде створений заново, то найкращий спосіб дії - це визначити, який процес його створив заново.

Один із способів зробити це - використовувати Провідник процесів від Sysinternals / Microsoft, щоб встановити, який є батьківський процес. Однак, якщо батьківський процес також припиняється, щоб зрозуміти цю взаємозв'язок, то використання монітора процесів для запису відносин батько / дитина з часом було б хорошим варіантом. Наприклад:

Завантажте Монітор процесів і почніть його захоплення.
Вбийте процес або з диспетчера завдань, або за допомогою Провідника процесів .
Зачекайте, коли процес буде створений заново.
Зупиніть захоплення монітора процесу (Ctrl-E або натисніть на значок лупи).
Ctrl-T або "Інструменти" - "Дерево процесу" відобразить дерево процесу, яке ви можете використовувати, щоб знайти процес, про який йде мова, та визначити процес, який його створив.

Примітки: Якщо батьківський процес постійно працює, дивіться на випадок, якщо дочірній процес закривається / вбивається перед його повторним запуском, а також дитина спостерігає за батьком. Один фокус, який може бути корисним, - це використовувати Process Explorer, щоб призупинити процес батьків і дітей, перш ніж вбити їх обох. Після цього ви можете видалити файли.

— Рука допомоги
джерело

Якщо процес був убитий, тоді почніть заново, єдиний варіант, який у вас є, це вбити його до основної суті.

Ви можете визначити розташування програми, відкривши розташування файлу та видаливши його. Якщо це не вдалося, оскільки файл відкривається, ви можете спробувати його вбити та швидко спробувати видалити / перейменувати.

Якщо це все-таки не вдається, єдиний варіант, який ви маєте, - це перейти в безпечний режим, а потім видалити сам файл.

Але ... Щоб переконатися, що все в порядку, спробуйте відкрити "запустити" і введіть msconfig, перейдіть до сервісів, "Сховати всі сервіси мікрософт" і вбийте будь-які сервіси, які вам здаються підозрілими.

Також загляньте на вкладку запуску. Потім перейдіть до місця розташування файлу та видаліть самі, якщо ви знайшли його.

Але це само собою зрозуміло, що ваш ПК вже порушений.

Я б вас налякав, сказавши, що хакери перебувають під вашим комп'ютером під контролем, але ні, серйозно, як тільки вони додадуть бекдор, вам слід перевстановити комп'ютер. Я не хочу сказати, що ти це безпечно, але що ми можемо з цим зробити. Ми не можемо просто відкинути наш ПК.

Ви повинні отримати гідний антивірус до цього. Таким чином, певним чином ви можете запобігти цьому повторитись.

-Чібі

— Сазеїм Сахем
джерело