Это произошло после того, как я удалил все точки восстановления системы, чтобы сэкономить место на диске моего SSD на 60 ГБ, и запустил сканирование MBAM накануне. Вчера я загрузил видеофайл, который не воспроизводился, хотя все его метаданные были правильными. Я отклонил его и загрузил другую версию. Примерно через 2 часа Windows накричала на меня, потому что DllHost.exe использовал почти всю мою оперативную память. Я убил его и пришел к выводу, что dll, используемая для создания миниатюр, была скомпрометирована предположительно поврежденным файлом. Я попытался удалить видео, и оно мгновенно вернулось с установленными разрешениями, так что я больше не мог его удалить. Я попытался войти в систему как учетная запись администратора (которая обычно отключена, но без пароля), чтобы обнаружить, что был установлен пароль. Я подключил диск к своему Raspberry Pi, чтобы обойти разрешения Windows, и успешно удалил файл. Затем я снова вошел в систему на своем ПК, и вскоре проводник Windows использовал около 4 ГБ моей оперативной памяти. Я убил его и попытался заменить резервной копией, но у меня не было прав на переименование, которые у меня были раньше. Я перезапустил проводник, и ничего необычного не произошло, и мой ПК вел себя нормально всю оставшуюся ночь.
Я включил его сегодня утром после некоторых раздумий, и теперь svchost.exe использовал огромные объемы памяти. Ни одна из служб, запущенных под ним, не была ненормальной, поэтому я удалил его дерево, и он вернулся, как и ожидалось, но используя нормальное количество памяти. Примерно через 5 минут он внезапно снова заработал. Я установил BitDefender и сказал ему сканировать explorer.exe. Он перестал работать, и когда я перезапустил его, у него не было графического интерфейса. Я сказал приложению выйти, и все его признаки исчезли, но процесс все еще работал, и использование оперативной памяти начало расти. Я попытался убить его, но диспетчер задач сказал, что у меня недостаточно прав для остановки процесса, и теперь в качестве пользователя указан SYSTEM. Он кажется слишком умным, чтобы быть «обычным» вредоносным ПО, и я не вижу никакого эффекта от него, кроме использования огромных объемов памяти. Он делает это, когда не подключен к Интернету, поэтому я не думаю, что он отправляет мои данные.
Я сейчас отключил свой диск с данными и выключил компьютер. Мне нужно знать, можно ли это исправить или лучше всего стереть SSD и переустановить Windows.
У меня есть еще один компьютер с Windows, которым я могу воспользоваться в случае крайней необходимости, но в противном случае мне нужно вернуть свой ПК к субботе.
решение1
Лучшим вариантом, который я могу предложить, будет включение режима командной строки в диспетчере задач.
- Удерживайте CTRL+SHIFT и нажмите ESC.
- Перейти к «подробностям».
- Щелкните правой кнопкой мыши по верхней панели, где перечислены названия столбцов («Имя», «PID» и т. д.).
- Выберите «Выбрать столбцы».
- Проверьте «командную строку».
Отсюда я бы внимательно посмотрел на командные строки, на которых работают ваши системные программы. Распространенной чертой вирусов Bitcoin Miner является их маскировка в подозрительном каталоге (например, C:\hgfjkhjfk) и называние себя чем-то вродеsvchost.exeчтобы избежать плена.
Если вы включите просмотр командной строки, вы сразу увидите, запускаете ли вы майнер (не говоря уже о других гадостях), потому что вы увидите все параметры, которые были переданы программе командной строки. Если вы видите переключатели, которые указывают на то, что ваша машина используется для майнинга биткойнов, найдите местоположение файла и удалите его.