這是在我刪除所有系統還原點以節省 60GB SSD 上的磁碟空間並在前一天運行 MBAM 掃描之後發生的。昨天,我下載了一個無法播放的影片文件,儘管它的所有元資料都是正確的。我忽略了它並下載了不同的版本。大約 2 小時後,Windows 對我大喊大叫,因為 DllHost.exe 幾乎使用了我所有的 RAM。我殺死了它並得出結論,用於生成縮圖的 dll 已被所謂損壞的檔案破壞。我嘗試刪除該視頻,但它立即返回並設置了權限,因此我無法再刪除它。我嘗試以管理員帳戶(通常被停用,但沒有密碼)登錄,發現已設定密碼。我將磁碟插入我的 Raspberry Pi 以繞過 Windows 權限並成功刪除該檔案。然後我重新登入我的電腦,很快 Windows 資源管理器就使用了大約 4GB 的 RAM。我殺死了它並嘗試用備份替換它,但缺乏重命名它的權限,而我曾經擁有該權限。我重新啟動了資源管理器,沒有發生任何異常情況,我的電腦在整個晚上都表現正常。
今天早上我經過一番思考後將其打開,現在 svchost.exe 正在使用大量內存。在它下面運行的服務都沒有異常,所以我殺死了它的樹,它按預期返回,但使用了正常的內存量。大約5分鐘後,它突然飆升。我安裝了 BitDefender 並告訴它掃描 explorer.exe。它停止工作,當我重新啟動時,它沒有 GUI。我告訴應用程式退出,所有跡像都消失了,但進程仍在運行,並且 RAM 使用量開始攀升。我試圖殺死它,但任務管理器說我沒有足夠的權限來停止該進程,並且它現在已將 SYSTEM 列為其用戶。它似乎太聰明了,不可能是「常規」惡意軟體,除了使用大量記憶體之外,我看不到它的任何影響。它在未連接到互聯網時執行此操作,因此我認為它不會發送我的數據。
我現在已停用數據驅動器並關閉電腦。我需要知道這是否可以修復,或者我的最佳選擇是擦除 SSD 並重新安裝 Windows。
我確實有另一台 Windows 計算機,如果非常必要,我可以使用它,但否則我需要在周六之前恢復我的電腦。
答案1
我建議的最佳選擇是在任務管理器中啟用命令列視圖。
- 按住 CTRL+SHIFT 並點擊 ESC。
- 轉到“詳細資料”。
- 右鍵單擊列出列名稱的頂部欄。 (「名稱」、「PID」等)
- 選擇“選擇列”。
- 檢查“命令列”。
從這裡,我將仔細查看系統程式運行的命令列。比特幣礦工病毒的一個共同特徵是隱藏在可疑目錄中(例如 C:\hgfjkhjfk),並將自己命名為類似svchost.exe以逃避追捕。
如果啟用命令列視圖,您將立即看到您是否正在運行礦工(更不用說其他討厭的東西),因為您將看到命令列程式已傳遞的所有參數。如果您看到表明您的電腦正在用於挖掘比特幣的開關,請找到該檔案的位置並將其清除。