Esto sucedió después de que eliminé todos los puntos de restauración de mi sistema para ahorrar espacio en disco en mi SSD de 60 GB y ejecuté un análisis de MBAM el día anterior. Ayer descargué un archivo de vídeo que no se reproducía, aunque tenía todos sus metadatos correctos. Lo descarté y descargué una versión diferente. Aproximadamente 2 horas después, Windows me gritó porque DllHost.exe estaba usando casi toda mi RAM. Lo eliminé y llegué a la conclusión de que el archivo supuestamente dañado había comprometido el dll utilizado para generar miniaturas. Intenté eliminar el vídeo y al instante volvió con los permisos establecidos para que ya no pudiera eliminarlo. Intenté iniciar sesión con la cuenta de administrador (que generalmente está deshabilitada, pero sin contraseña) para descubrir que se había establecido una contraseña. Conecté el disco a mi Raspberry Pi para evitar los permisos de Windows y eliminé el archivo con éxito. Luego volví a iniciar sesión en mi PC y pronto el Explorador de Windows estaba usando aproximadamente 4 GB de mi RAM. Lo eliminé e intenté reemplazarlo con una copia de seguridad, pero no tenía permisos para cambiarle el nombre, que solía tener. Reinicié Explorer y no sucedió nada fuera de lo común y mi PC se comportó normalmente durante el resto de la noche.
Lo encendí esta mañana después de pensar un poco y ahora svchost.exe estaba usando inmensas cantidades de memoria. Ninguno de los servicios que se ejecutaban bajo él era anormal, así que eliminé su árbol y volvió como se esperaba, pero usando una cantidad normal de memoria. Después de aproximadamente 5 minutos, de repente volvió a subir. Instalé BitDefender y le dije que escaneara explorer.exe. Dejó de funcionar y cuando lo reinicié no tenía GUI. Le dije a la aplicación que saliera y todos los signos desaparecieron, pero el proceso aún estaba ejecutándose y el uso de RAM estaba comenzando a aumentar. Intenté eliminarlo, pero el administrador de tareas dijo que no tenía permisos suficientes para detener el proceso y ahora tenía SISTEMA como su usuario. Parece demasiado inteligente para ser malware "normal" y no veo ningún efecto aparte del uso de grandes cantidades de memoria. Hace esto cuando no está conectado a Internet, por lo que no creo que esté enviando mis datos.
Ahora desactivé mi unidad de datos y apagué la computadora. Necesito saber si esto es algo que se puede solucionar o si mi mejor opción es borrar mi SSD y reinstalar Windows.
Tengo otra máquina con Windows que puedo usar si es extremadamente necesario, pero por lo demás necesito que me devuelvan mi PC el sábado.
Respuesta1
La mejor opción que puedo sugerir sería habilitar la vista de línea de comandos en su Administrador de tareas.
- Mantenga presionada la tecla CTRL+MAYÚS y toque ESC.
- Vaya a 'detalles'.
- Haga clic derecho en la barra superior donde se enumeran los nombres de las columnas. ('Nombre', 'PID', etc.)
- Seleccione 'Seleccionar columnas'.
- Marque 'línea de comando'.
Desde aquí, observaría de cerca las líneas de comando en las que se ejecutan los programas de su sistema. Un rasgo común de los virus Bitcoin Miner es esconderse en un directorio sospechoso (por ejemplo, C:\hgfjkhjfk) y nombrarse a sí mismos comosvchost.exepara eludir la captura.
Si habilita la vista de línea de comandos, verá inmediatamente si está ejecutando un minero (sin mencionar otras cosas desagradables) porque verá todos los parámetros que se le han pasado al programa de línea de comandos. Si ve interruptores que indican que su máquina se está utilizando para extraer bitcoins, busque la ubicación del archivo y elimínelo.