-
-
[讨论]svchost cpu占用44%,命令行名字里面有miner相关文字,怎么回事?
-
发表于: 2019-3-25 15:45
-
为什么命令是auto miner,是不是中毒了:(
cpu占用很大,还连着国外ip,怎么办?
svhost.exe命令行为 auto miner
这个svchost会连接某个国外ip
这个svchost无法通过任务管理器右键转到服务定位
右键转到服务,无法找到进程对应服务 (会转到服务标签,但是没有定位到匹配的服务) 其他svchost都可以定位到具体服务
svchost.exe 进程模块分析
svchost 进程模块
这个svchost.exe进程模块中怎么有两个svchost.exe?
进程模块C:\Windows\System32\svchost.exe
某个模块路径是C:\Windows\System32\svchost.exe,这个模块地址是否是伪造的?模块不应该是dll么?
线程模块(PC Hunter显示 3196线程对应模块)
process explorer 3196线程显示不了模块名,在上图PC Hunter中显示为 svchost.exe
线程模块(Process Explorer无法显示3196线程对应模块)
这个病毒svchost.exe进程的父进程是 services.exe
services.exe 进程模块
services.exe进程包含模块好像没问题
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
最后于 2019-3-25 23:40
被petersonhz编辑
,原因:
|
|
|---|---|
|
|
|
|
|
定位是系统的svchost进程,是否被注入病毒了? |
|
|
|
|
|
CPU占用100%,svchost是系统进程,为何这个进程会这样? 而且任务管理器显示命令行为 auto miner 进程文件位置 C:\Windows\System32\svchost.exe,这没错啊 |
|
|
进程属性应该没有问题,可是为何任务管理器显示命令行为 auto miner? |
|
|
应该是通过创建了一个服务,做一些不可描述的事情
|
|
|
|
|
|
任务管理器,右键转到服务,找不到对应服务。 另外加一张图,这个svchost.exe进程模块中怎么有两个svchost? |
|
|
。。。。都说了看下启动的服务,services.msc看下启动的服务,确定服务名后面就相对简单了,再分析下应该就能找到执行模块 |
|
|
另外那个svchost.exe本身就是system进程,通过这个进程可以调起来一些服务的。 |
|
|
|
|
|
|
|
|
一般模块都是dll,为何pchunter这里显示的是svchost.exe?在process explorer中显示不了。 该如何清除这个病毒呢?全局卸载模块就够了么? |
|
|
|
|
|
原来点赞可以送雪币,第一次知道这个功能,呵呵 在进程模块中删除svhost.exe就可以了么?但是这个好像是系统文件啊:( 其他模块都是dll的,为何这个模块是个exe? 这个病毒svchost.exe进程的父进程是 services.exe,这个进程似乎没有问题
最后于 2019-3-25 21:10
被petersonhz编辑
,原因:
|
|
|
|
|
|
任务管理器中,右键转到服务,无法找到
进程
对应服务
(会转到服务标签,但是没有定位到匹配的服务)
,怎么办
最后于 2019-3-25 21:24
被petersonhz编辑
,原因:
|
|
|
真正工作的是一个dll模块,注册成服务,通过svchost.exe加载起来的。单独的dll运行不了的,需要一个外部的exe调起来,这样说应该差不多吧。 想学习的话,可以分析分析,借助一些分析工具会快些。 想干掉的话,直接重做一个系统,一般的木马病毒没那么厉害的。 |
|
|
。。。。。。直接在服务列表里面找 |
|
|
转过去,只是把所有的服务列一遍。你把启动的那些服务拿出来看下 |
|
|
|
|
|
其他的svchost进程右键转到服务都能定位到具体服务,这个svchost.exe (命令行为auto miner) 不能定位到服务:( 这个进程是否有可能是动态生成的?不需要在服务列表中有记录才行?它的父进程是services.exe
最后于 2019-3-25 21:36
被petersonhz编辑
,原因:
|
|
|
你是说在任务管理器里面右键看具体服务? |
|
|
服务肯定是服务,难道起来之后做了一些处理? |
杀手killerho
