Svchost senza nome 50% CPU che usa e non può accedere a "Scheda Servizio"

Sembra che sia un virus cripto-minatore. Una volta è successo a me. L'ho capito quando ho ascoltato la mia rete utilizzando Wireshark . a svchost è stato comandato di comunicare con un server della moneta Monero. Ho trovato l'unica soluzione ripristinando il mio disco C. Chiedo scusa, non riesco a trovare una buona soluzione. Ho dovuto scrivere questo come commento non come risposta, ma la mia reputazione non è sufficiente per commentare, e vorrei avvertirti del virus miner dalla mia esperienza;

1. Si tratta di un malware infetto in svchost.exe, quindi non è possibile eliminarlo poiché Windows lo riconosce come processo di sistema.
2. Solitamente i suoi encoder funzionano molto bene in modo che il virustotal o qualsiasi anti-malware non possa rilevare nulla.
3. Non provare ad accedere all'interfaccia del router mentre si dispone di questo malware, poiché ruberà le credenziali del router e modificherà le impostazioni proxy o DNS.
4. Non fare acquisti online con la tua banca o con le tue carte di credito su questo pc infetto.
5. Non è solo un virus minatore. È un strong Trojan che ha molte funzionalità come disabilitare Windows Defender, rompendo gli aggiornamenti di Windows. (Questo è il motivo per cui il ripristino è fallito), ascoltando i colpi della tastiera, potrebbe ottenere anche screenshot.

Windows 10 ha una funzione per tornare a una nuova reinstallazione senza rimuovere i file personali. Ripristina Windows 10 alle impostazioni di fabbrica. Questo ti salverà sicuramente dal pericoloso trojan.

Cerco di spiegarmi un po '. svchost.exe è usato per (per esempio) avviare un servizio. Quindi quello che vedi potrebbe anche essere registrato come servizio che può essere identificato principalmente controllando i servizi in esecuzione e anche se non sei in grado di aprire la GUI per i servizi, ci sono altri modi per verificare i servizi in esecuzione come:

• esegui una shell di comando con privilegi elevati (cmd.exe con diritti amministrativi) e digita: services.msc premi invio e attendi un po '
• eseguire un powershell con privilegi elevati (powershell.exe con diritti amministrativi) e digitare in: Get-Service | ? {$_.Status -eq 'RUNNING'} | ft -AutoSize
• eseguire un powershell con privilegi elevati e digitare in: Get-Service | ? {$ _. Stato -eq 'RUNNING'} | FL

Entrambi i comandi di PowerShell stanno facendo lo stesso, ma danno un output diverso:

• ft significa: Formato come tabella (-Autosize è per una lettura migliore)
• fl significa: formato come elenco (dà più dettagli)

Dopo aver ottenuto l'elenco dei servizi in esecuzione e identificato il "cattivo" una volta che è possibile utilizzare sc.exe su ferma / disattiva questo servizio, riavvia il tuo computer e anche elimina questo servizio.

Ma ci sono davvero più modi per farlo e potrebbe anche essere, che questo servizio verrà reinstallato dopo un riavvio con Autorun all'avvio.

Sembra un criptatore: elevato utilizzo della CPU, non può essere visto dal Task Manager, resiste al rilevamento e alla morte.

Individuare l'origine del svchost.exe interessato non risolverà il tuo problema. Grazie a una tecnica chiamata Process Hollowing , il malware avvierà il legittimo svchost.exe in stato sospeso, modificando parte del processo struttura per caricare il proprio codice invece del codice di svchosts e avviarlo. Sul Task Manager, viene caricato svchost.exe , ma il codice in esecuzione è un'altra cosa.

Se si utilizza ProcDump sul processo in esecuzione e si confronta con il codice legittimo di svchost, si vedrà cose molto diverse.

Soluzioni?

Correzione facile: nuke dall'orbita, recupero dei backup.

Difficoltà difficile: creare una macchina virtuale, fare uno snapshot, installare di nuovo il programma sospetto, confrontare le istantanee. Avvia Windows in modalità provvisoria, elimina i file modificati.

Correzione molto difficile: Grab Utilità di elaborazione Suite di Sysintenals , avvia in modalità provvisoria , esamina tutto ciò che viene caricato al momento dell'accesso. Disabilitare un gruppo di processi alla volta, riavviare in modalità normale, verificare se il minatore è tornato. Ripeti fino a quando non prendi il processo esatto.

Non installare software non attendibile. Se proprio devi, installa su una sandbox. Sandboxie è uno che ho usato da molto tempo, è conveniente e funziona bene. È in grado di proteggere dalla maggior parte dei malware incorporati, ma non è abbastanza sicuro da eseguire malware ben scritti in grado di rilevare, eludere e attaccare. L'altra opzione è l'esecuzione di software non affidabile all'interno di una VM. Ma ancora una volta, questo non è a prova di proiettile, in quanto alcuni malware possono rilevare e sfuggire anche a una VM, ma probabilmente non ne stai eseguendo uno.