60GB SSD의 디스크 공간을 절약하기 위해 모든 시스템 복원 지점을 삭제하고 전날 MBAM 검사를 실행한 후에 이런 일이 발생했습니다. 어제 모든 메타데이터가 정확했지만 재생되지 않는 비디오 파일을 다운로드했습니다. 나는 그것을 무시하고 다른 버전을 다운로드했습니다. 약 2시간 후에 DllHost.exe가 내 RAM을 거의 모두 사용하고 있었기 때문에 창이 나에게 소리쳤습니다. 나는 그것을 죽이고 썸네일을 생성하는 데 사용된 dll이 손상된 것으로 추정되는 파일에 의해 손상되었다는 결론에 도달했습니다. 동영상을 삭제하려고 했더니 즉시 권한이 설정된 상태로 돌아와서 더 이상 삭제할 수 없었습니다. 비밀번호가 설정되어 있음을 확인하기 위해 관리자 계정(보통 비활성화되어 있지만 비밀번호는 없음)으로 로그인을 시도했습니다. Windows 권한을 우회하기 위해 디스크를 Raspberry Pi에 연결하고 파일을 성공적으로 삭제했습니다. 그런 다음 내 PC에 다시 로그인했고 곧 Windows 탐색기가 약 4GB의 RAM을 사용하게 되었습니다. 나는 그것을 죽이고 백업으로 교체하려고 시도했지만 이름을 바꿀 수 있는 권한이 부족했습니다. Explorer를 다시 시작했는데 특별한 일이 발생하지 않았으며 내 PC는 밤새도록 정상적으로 작동했습니다.
오늘 아침에 조금 고민한 끝에 켰더니 지금 svchost.exe가 엄청난 양의 메모리를 사용하고 있었습니다. 그 아래에서 실행되는 서비스 중 비정상이 아니므로 해당 트리를 종료하고 예상대로 돌아왔지만 정상적인 양의 메모리를 사용했습니다. 5분 정도 지나자 갑자기 다시 올라왔습니다. BitDefender를 설치하고 explorer.exe를 검사하라고 했습니다. 작동이 중지되었고 다시 시작했을 때 GUI가 없었습니다. 애플리케이션을 종료하라고 지시했더니 모든 징후가 사라졌지만 프로세스는 여전히 실행 중이었고 RAM 사용량이 증가하기 시작했습니다. 종료하려고 시도했지만 작업 관리자는 프로세스를 중지할 수 있는 권한이 부족하다고 말했으며 이제 SYSTEM이 사용자로 나열되었습니다. "일반적인" 악성 코드라고 보기엔 너무 영리해 보이고, 엄청난 양의 메모리를 사용하는 것 외에는 아무런 효과도 볼 수 없습니다. 인터넷에 연결되어 있지 않을 때 이 작업을 수행하므로 내 데이터가 전송되지 않는 것 같습니다.
이제 데이터 드라이브를 비활성화하고 컴퓨터를 껐습니다. 이것이 고칠 수 있는 문제인지 아니면 최선의 선택이 SSD를 지우고 창을 다시 설치하는 것인지 알아야 합니다.
꼭 필요한 경우 사용할 수 있는 또 다른 Windows 시스템이 있지만 그렇지 않은 경우 토요일까지 PC를 다시 가져와야 합니다.
답변1
제가 제안할 수 있는 가장 좋은 옵션은 작업 관리자에서 명령줄 보기를 활성화하는 것입니다.
- CTRL+SHIFT를 누른 상태에서 ESC를 탭합니다.
- '세부정보'로 이동하세요.
- 열 이름이 나열된 상단 표시줄을 마우스 오른쪽 버튼으로 클릭합니다. ('이름', 'PID' 등)
- '열 선택'을 선택하세요.
- '명령줄'을 확인하세요.
여기에서는 시스템 프로그램이 실행 중인 명령줄을 자세히 살펴보겠습니다. Bitcoin Miner 바이러스의 일반적인 특징은 의심스러운 디렉터리(예: C:\hgfjkhjfk)에 숨기고 다음과 같은 이름을 지정하는 것입니다.svchost.exe캡처를 피하기 위해.
명령줄 보기를 활성화하면 명령줄 프로그램이 전달된 모든 매개변수를 볼 수 있기 때문에 마이너(다른 불쾌한 작업은 말할 것도 없고)를 실행 중인지 즉시 확인할 수 있습니다. 귀하의 컴퓨터가 비트코인 채굴에 사용되고 있음을 나타내는 스위치가 보이면 파일 위치를 찾아서 제거하세요.