Isso aconteceu depois que excluí todos os pontos de restauração do sistema para economizar espaço em disco no meu SSD de 60 GB e executei uma verificação do MBAM no dia anterior. Ontem baixei um arquivo de vídeo que não reproduzia, embora tivesse todos os metadados corretos. Eu descartei e baixei uma versão diferente. Cerca de 2 horas depois, o Windows gritou comigo porque DllHost.exe estava usando quase toda a minha RAM. Eu o matei e cheguei à conclusão de que a dll usada para gerar miniaturas havia sido comprometida pelo arquivo supostamente corrompido. Tentei excluir o vídeo e ele voltou instantaneamente com as permissões definidas para que não pudesse mais excluí-lo. Tentei fazer login como conta de administrador (que geralmente está desativada, mas sem senha) para descobrir que uma senha havia sido definida. Conectei o disco em meu Raspberry Pi para ignorar as permissões do Windows e excluí o arquivo com sucesso. Em seguida, entrei novamente no meu PC e logo o Windows Explorer estava usando cerca de 4 GB da minha RAM. Eu o matei e tentei substituí-lo por um backup, mas não tinha permissão para renomeá-lo, o que eu costumava ter. Reiniciei o explorer e nada de incomum aconteceu, e meu PC se comportou normalmente pelo resto da noite.
Liguei-o esta manhã depois de pensar um pouco e agora o svchost.exe estava usando imensa quantidade de memória. Nenhum dos serviços executados nele estava anormal, então matei sua árvore e ela voltou conforme o esperado, mas usando uma quantidade normal de memória. Depois de cerca de 5 minutos, de repente voltou a subir. Instalei o BitDefender e pedi para ele verificar o explorer.exe. Parou de funcionar e quando reiniciei não tinha GUI. Eu disse ao aplicativo para sair e todos os sinais desapareceram, mas o processo ainda estava em execução e o uso de RAM estava começando a aumentar. Tentei eliminá-lo, mas o gerenciador de tarefas disse que eu não tinha permissões suficientes para interromper o processo e agora ele tinha SYSTEM listado como usuário. Parece inteligente demais para ser um malware "normal" e não vejo nenhum efeito disso além do uso de grandes quantidades de memória. Ele faz isso quando não está conectado à Internet, então não acho que esteja enviando meus dados.
Agora desativei minha unidade de dados e desliguei o computador. Preciso saber se isso pode ser corrigido ou se minha melhor opção é limpar meu SSD e reinstalar o Windows.
Eu tenho outra máquina Windows que posso usar se for extremamente necessário, mas caso contrário, preciso do meu PC de volta no sábado.
Responder1
A melhor opção que posso sugerir seria ativar a visualização da linha de comando no seu Gerenciador de tarefas.
- Segure CTRL+SHIFT e toque em ESC.
- Vá para 'detalhes'.
- Clique com o botão direito na barra superior onde os nomes das colunas estão listados. ('Nome', 'PID', etc.)
- Selecione 'Selecionar colunas'.
- Verifique 'linha de comando'.
A partir daqui, eu daria uma olhada nas linhas de comando nas quais os programas do seu sistema estão sendo executados. Uma característica comum dos vírus Bitcoin Miner é esconder-se em um diretório suspeito (por exemplo, C:\hgfjkhjfk) e nomear-se algo comosvchost.exepara escapar da captura.
Se você ativar a visualização da linha de comando, verá imediatamente se está executando um minerador (sem mencionar outras coisas desagradáveis), porque verá todos os parâmetros que o programa de linha de comando passou. Se você estiver vendo opções que indicam que sua máquina está sendo usada para extrair bitcoins, encontre a localização do arquivo e elimine-o.