非常に巧妙なウイルス?

非常に巧妙なウイルス?

これは、60GB SSD のディスク領域を節約するためにすべてのシステム復元ポイントを削除し、前日に MBAM スキャンを実行した後に発生しました。昨日、メタデータはすべて正しいのに再生できないビデオ ファイルをダウンロードしました。それを破棄し、別のバージョンをダウンロードしました。約 2 時間後、DllHost.exe が RAM のほとんどを使用しているため、Windows が警告を発しました。これを強制終了し、サムネイルを生成するために使用する dll が、破損したと思われるファイルによって侵害されたという結論に達しました。ビデオを削除しようとすると、すぐにアクセス許可が設定された状態で復活し、削除できなくなりました。管理者アカウント (通常は無効ですが、パスワードなし) としてログインしようとしたところ、パスワードが設定されていることがわかりました。Windows のアクセス許可をバイパスするためにディスクを Raspberry Pi に接続し、ファイルを正常に削除しました。その後、PC に再度ログインすると、すぐに Windows エクスプローラーが RAM の約 4GB を使用しました。これを強制終了し、バックアップで置き換えようとしましたが、以前は持っていた名前変更のアクセス許可がありませんでした。エクスプローラーを再起動しましたが、異常なことは何も起こらず、その晩の残りの時間は PC が正常に動作しました。

今朝、少し考えてから電源を入れたところ、svchost.exe が大量のメモリを使用していました。その下で実行されているサービスはどれも異常ではなかったので、ツリーを強制終了すると、期待どおりに戻りましたが、メモリ使用量は通常の量でした。5 分ほど経つと、突然再び急増しました。BitDefender をインストールし、explorer.exe をスキャンするように指示しました。動作が停止し、再起動すると GUI が表示されませんでした。アプリケーションを終了するように指示すると、すべての兆候が消えましたが、プロセスはまだ実行されており、RAM 使用量が増加し始めました。強制終了しようとしましたが、タスク マネージャーにはプロセスを停止するための権限が不足していると表示され、ユーザーとして SYSTEM が表示されました。これは「通常の」マルウェアにしては巧妙すぎるようで、大量のメモリを使用する以外に影響は見られません。インターネットに接続していないときにこれを実行するので、データが送信されているとは思いません。

データ ドライブを無効にし、コンピューターの電源を切りました。これは修復可能な問題なのか、それとも SSD を消去して Windows を再インストールするのが最善の選択肢なのかを知る必要があります。

どうしても必要な場合には別の Windows マシンを使用できるのですが、そうでない場合は土曜日までに PC を返却する必要があります。

答え1

私が提案できる最善のオプションは、タスク マネージャーでコマンド ライン ビューを有効にすることです。

  • CTRL+SHIFT キーを押しながら ESC キーをタップします。
  • 「詳細」に進みます。
  • 列名がリストされている上部のバーを右クリックします。(「名前」、「PID」など)
  • 「列を選択」を選択します。
  • 「コマンドライン」を確認してください。

ここからは、システムプログラムが動作しているコマンドラインを詳しく見てみましょう。Bitcoin Minerウイルスの一般的な特徴は、疑わしいディレクトリ(例:C:\hgfjkhjfk)に隠れ、次のような名前をつけることです。svchost.exe捕獲を逃れる。

コマンドライン ビューを有効にすると、コマンドライン プログラムに渡されたすべてのパラメーターが表示されるため、マイナー (その他の厄介なものは言うまでもありません) を実行しているかどうかがすぐにわかります。マシンがビットコインのマイニングに使用されていることを示すスイッチが表示されている場合は、ファイルの場所を見つけて除去してください。

関連情報