Dies geschah, nachdem ich alle meine Systemwiederherstellungspunkte gelöscht hatte, um Speicherplatz auf meiner 60 GB SSD zu sparen, und am Tag zuvor einen MBAM-Scan ausgeführt hatte. Gestern habe ich eine Videodatei heruntergeladen, die sich nicht abspielen ließ, obwohl alle Metadaten korrekt waren. Ich habe sie verworfen und eine andere Version heruntergeladen. Ungefähr 2 Stunden später rief Windows mich an, weil DllHost.exe fast meinen gesamten RAM verwendete. Ich habe es beendet und kam zu dem Schluss, dass die DLL, die zum Generieren von Miniaturansichten verwendet wurde, durch die angeblich beschädigte Datei beeinträchtigt worden war. Ich habe versucht, das Video zu löschen, und es kam sofort mit den festgelegten Berechtigungen zurück, sodass ich es nicht mehr löschen konnte. Ich habe versucht, mich als Administratorkonto anzumelden (das normalerweise deaktiviert ist, aber ohne Kennwort), um festzustellen, dass ein Kennwort festgelegt worden war. Ich habe die Festplatte an meinen Raspberry Pi angeschlossen, um die Windows-Berechtigungen zu umgehen, und die Datei erfolgreich gelöscht. Dann habe ich mich wieder bei meinem PC angemeldet, und bald verwendete der Windows Explorer etwa 4 GB meines RAM. Ich habe es beendet und versucht, es durch ein Backup zu ersetzen, aber mir fehlten die Berechtigungen, es umzubenennen, die ich früher hatte. Ich habe den Explorer neu gestartet und es ist nichts Ungewöhnliches passiert und mein PC hat sich für den Rest der Nacht normal verhalten.
Ich habe es heute Morgen nach einigem Nachdenken eingeschaltet und jetzt hat svchost.exe enorme Mengen an Speicher verwendet. Keiner der darauf laufenden Dienste war abnormal, also habe ich seinen Baum beendet und es kam wie erwartet zurück, verwendete aber eine normale Speichermenge. Nach ungefähr 5 Minuten stieg es plötzlich wieder an. Ich habe BitDefender installiert und es angewiesen, explorer.exe zu scannen. Es funktionierte nicht mehr und als ich es neu startete, hatte es keine GUI. Ich habe die Anwendung angewiesen, sich zu beenden und alle Anzeichen davon verschwanden, aber der Prozess lief immer noch und die RAM-Nutzung begann zu steigen. Ich habe versucht, es zu beenden, aber der Task-Manager sagte, ich hätte nicht genügend Berechtigungen, um den Prozess zu stoppen, und es hatte jetzt SYSTEM als seinen Benutzer aufgeführt. Es scheint viel zu schlau, um „normale“ Malware zu sein, und ich sehe keine Auswirkungen davon, außer dass es enorme Speichermengen verwendet. Es tut dies, wenn es nicht mit dem Internet verbunden ist, also glaube ich nicht, dass es meine Daten herumsendet.
Ich habe jetzt mein Datenlaufwerk deaktiviert und den Computer ausgeschaltet. Ich muss wissen, ob das behoben werden kann oder ob meine beste Option darin besteht, meine SSD zu löschen und Windows neu zu installieren.
Ich habe zwar eine andere Windows-Maschine, die ich im Notfall verwenden kann, aber ansonsten brauche ich meinen PC bis Samstag zurück.
Antwort1
Die beste Option, die ich vorschlagen kann, wäre, die Befehlszeilen-Ansicht in Ihrem Task-Manager zu aktivieren.
- Halten Sie STRG+UMSCHALT gedrückt und tippen Sie auf ESC.
- Gehen Sie zu „Details“.
- Klicken Sie mit der rechten Maustaste auf die obere Leiste, in der die Spaltennamen aufgelistet sind. („Name“, „PID“ usw.)
- Wählen Sie „Spalten auswählen“ aus.
- Überprüfen Sie „Befehlszeile“.
Von hier aus würde ich mir die Befehlszeilen, auf denen Ihre Systemprogramme laufen, genau ansehen. Ein häufiges Merkmal von Bitcoin Miner-Viren ist, sich in einem verdächtigen Verzeichnis (z. B. C:\hgfjkhjfk) zu verstecken und sich selbst etwa so zu benennen:Herunterladenum der Gefangennahme zu entgehen.
Wenn Sie die Befehlszeilenansicht aktivieren, sehen Sie sofort, ob Sie einen Miner ausführen (ganz zu schweigen von anderen üblen Dingen), da Sie alle Parameter sehen, die dem Befehlszeilenprogramm übergeben wurden. Wenn Sie Schalter sehen, die darauf hinweisen, dass Ihr Computer zum Mining von Bitcoins verwendet wird, suchen Sie den Speicherort der Datei und beseitigen Sie sie.