暗号マイニングプロセスが見つかりました-どうすればそれを取り除くことができますか？[複製]

この質問にはすでに答えがあります：

悪意のあるスパイウェア、マルウェア、アドウェア、ウイルス、トロイの木馬、またはルートキットをPCから削除するにはどうすればよいですか？ 19答え

若干のパフォーマンスの低下に気づき、ここで説明するプロセスエクスプローラーをインストールすることにしました：https : //security.stackexchange.com/questions/76100/how-to-find-processes-that-are-hidden-from-task-manager

次のコマンドラインで、CPUの80％を使用し、notepad.exeを偽装する隠しプロセスを発見しました。

"C:\windows\notepad.exe" -c "C:\ProgramData\fWyfnSWdrs\cfgi"

そのフォルダをチェックし、設定ファイルのように見えるものを見つけました、1つは開くことができず、プロセスで使用され、他の人はこれを持っています（ユーザーガイドを削除しました）：

{"algo": "cryptonight",
"background": false,
"colors": true,
"retries": 5,
"retry-pause": 5,
"syslog": false,
"print-time": 60,
"av": 0,
"safe": false,
"cpu-priority": null,
"cpu-affinity": null,
"threads": 8,
"pools": [

    {
        "url": "185.144.29.36:5450",
        "user": <GUID HERE, REMOVED BY ME>,
        "pass": "x",
        "keepalive": false,
        "nicehash": false,
        "variant": 1
    }
],
"api": {
    "port": 0,
    "access-token": null,
    "worker-id": null
}
}

いくつかのグーグルとこれは暗号通貨マイニングのセットアップのように見えます。プロセスを強制終了しようとしました-すぐに戻ります。フォルダー名とWindowsサービスの登録を確認しました-起動するものを見つけることができません。

他のいくつかのアンチウイルスを試しました-彼らはそれを拾いません。

このマシンは特別なものではなく、単に停止させるだけで十分なので、「軌道からそれを破棄」したくありません。

これを開始して殺すものを見つけるにはどうすればよいですか？

また、私はそれをどのように取得したかを知りたいです。設定ファイルは20日前のものであり、インストールをチェックし、その時から何も表示できません。これを理解する方法に関するヒント/リンクはありがたいです。

windows-7 process-explorer cryptomining

— アレックス_404
ソース

プロセスモニター-docs.microsoft.com/en-us/sysinternals/downloads/procmonを実行すると、そこから起動する親プロセスを確認できます。別の「ウォッチドッグ」プロセスがある場合。プロセスエクスプローラーでプロセスのサスペンドオプションを使用して、ペアを「強制終了」できますか？

— HelpingHand

「いくつかのアンチウイルスを試しました」とはどういう意味ですか？コンピューターでアクティブなリアルタイムのウイルス対策が実行されていますか？他にどのようなツールを使用しましたか？起こりそうなことは、別のプロセスが暗号化プロセスを監視して再起動していることです。このウォッチャープロセスには、独自のウォッチャーを含めることもできます。時々、これらのウォッチャーは自分自身を隠します（本当に賢いことがあります）。

— music2myear

ここでの問題は、コンピューターにアクティブな不要なプログラムがあり、それがシステムに深くアクセスしていることです。お使いのコンピューターは完全に侵害されており、再び信頼されるべきではありません。システムの完全なワイプとリセットでは削除されないレベルでウイルスがアクセスされる可能性もありますが、それはあまりありません。保存するファイルをバックアップしてから、ハードドライブを完全に消去し、Windowsを再インストールすることを強くお勧めします。これは、あなたが説明した症状が与えられた場合の最善かつ最も安全な処置です。

— music2myear

さらに、Windows 7はMicrosoftによって積極的にサポートされなくなったため、交換する必要があります。古くなったソフトウェアを実行し続けると、コンピューターはウイルスとマルウェアに対してますます脆弱になります。Windowsの新しいライセンスを購入したくない場合は、Linuxなど、高コストなしで最新の機能を維持できるその他の実行可能なオプションがあります。

— music2myear

「Windows 7はマイクロソフトによって積極的にサポートされなくなったため、交換する必要があります。」-これは間違っています。Microsoftにサポートを依頼することはできないかもしれませんが、いずれにしても、無料でこのような問題が発生する可能性があります。Windows 7の延長サポートは、2020年1月14日

— ラムハウンド

回答:

プロセスを強制終了した後にそれが再作成される場合、アクションの最良のコースは、どのプロセスがそれを再作成したかを識別することです。

これを行う1つの方法は、Sysinternals / MicrosoftのProcess Explorerを使用して、どちらが親プロセスであるかを確立することです。ただし、この関係を理解するために親プロセスも終了している場合は、Process Monitorを使用して親子関係を経時的に記録することをお勧めします。例えば：

Process Monitorをダウンロードして、キャプチャを開始します。
タスクマネージャーから、またはProcess Explorerを使用して、プロセスを強制終了します。
プロセスが再作成されるのを待ちます。
プロセスモニタのキャプチャを停止します（Ctrl-Eまたは虫眼鏡アイコンをクリックします）。
Ctrl-Tまたは「ツール」-「プロセスツリー」は、問題のプロセスを見つけ、それを作成したプロセスを識別するために使用できるプロセスツリーを表示します。

注：親プロセスが常に実行されている場合、再起動する前に子プロセスが終了/強制終了される場合を監視し、同様に子プロセスは親を監視します。役に立つかもしれない1つのトリックは、Process Explorerを使用して、親プロセスと子プロセスの両方を強制終了する前にそれらを一時停止することです。これにより、ファイルを削除できるようになります。

— 救いの手
ソース

プロセスが強制終了された場合、再度開始します。唯一のオプションは、プロセスをコアに強制終了することです。

ファイルの場所を開いて削除することで、アプリの場所を把握できます。ファイルが開かれているために失敗した場合は、ファイルを強制終了して、すぐに削除/名前変更を試みることができます。

それでも失敗する場合は、セーフモードに切り替えてからファイル自体を削除するしかありません。

しかし...すべてが正常であることを確認するために、「実行」を開いてmsconfigと入力し、サービスに移動して「Microsoftサービスをすべて非表示」にして、疑わしいサービスをすべて削除してください。

[スタートアップ]タブも確認してください。次に、ファイルの場所に移動し、見つかった場合は自分で削除します。

しかし、これは言うまでもなく、PCが既に侵害されています。

ハッカーがあなたのコンピューターを制御下に置いたと言ってあなたを怖がらせますが、真剣に、彼らがバックドアを追加したら、PCを再インストールする必要があります。それを行った後、私はあなたの安全を言いませんが、私たちはそれについて何ができますか。PCを捨てることはできません。

これが発生する前に、まともなウイルス対策を取得する必要があります。そうすれば、これが再び起こるのを防ぐことができます。

-ちび

— サゼイム・サヒーム
ソース