Mining Virus

[Hellstark_King]

Also vorhin ist mir aufgefallen das die graka lüfter hochdrehen ob wohl ich nichts weiter mache außer YouTube.
Bin also in Taskmanager habe da aber nichts gesehen. Habe zufällig den Taskmanager aufgelassen und bin gegangen als ich wieder kam war die graka Auslastung wieder auf 100 Prozent und ganz oben stand auch eine Anwendung die dafür zuständig war sobald man die Maus bewegt geht die aber wieder zu und auch die Auslastung wird nochmal.
Darauf hin hab ich Mal den Taskmanager offen gelassen und gewartet ohne etwas am PC zu tun . Und siehe da bei geöffnentem Taskmanager poppt nach etwar einer Minute nichts tun eine Anwendung auf die die graka voll aislastet. Ich hänge ein Video an.
Ich hoffe ihr könnt mir helfen.
Habe schon mit Windows nach Vieren gescannt aber es kam nichts bei raus. Also mit dem Schnellscan.
Lasse gerade den kompletten Scan laufen aber das dauert über einen Tag weil hab ne SSD und 2 hhds drin.
Falls ihr mehr Info braucht ich beantworte alle Fragen.

 

[Fujiyama]

Bei jeglichen Schädlingsbefall spar ich mir die Suche. Die einzig Korrekte Handlung ist die Möhre platt zu machen bzw. Das Backup einspielen.

 

[Smily]

Steht da Shall oder Shell? Den Shell Prozess gibt es als Systemprozess. Shall nicht.

 

[FR3DI]

aber es kam nichts bei raus.

Bei Cryptojacking kann man nicht von (Schadsoftware) Malware reden, auch wenn dies so manche dennoch behaupten möchten.

dauert über einen Tag weil hab ne SSD und 2 hhds drin.

Könnte an der CPU liegen. Denn der Scan fordert mitunter.

Gruß Fred.

 

[piepenkorn]

Sieht aus wie Shall. 😎

 

[FR3DI]

Steht da Shall oder Shell?

Ja, letzteres.

 

[Hauro]

Process Explorer - Windows Sysinternals | Microsoft Docs

Proccess Explorer herunterladen und ausführen:

1. Proccess Explorer herunterladen - oder über ComputerBase
2. Proccess Explorer entpacken
3. procexp64.exe als Administrator ausführen
4. Den Dialog "System Information" öffnen und zum Reiter "GPU" wechseln.
5. Beim überfahren mit der Maus wird der Prozess und dessen Last in Prozent angezeigt.
   

Über die Prozess-ID lässt sich der Prozess identifizieren.

Windows Shell Experience Host (10852)



Es kann auch nach einem Prozess gesucht werden, z.B. nach Shell:



Des weiteren kann die Datei über das Kontextmenü über VirusTotal geprüft werden:

 

[Ayo34]

The main reasons for this problem are usually an app or apps with a memory leak, and incorrectly configured or out-of-date personalization settings.

Das habe ich über Google gefunden... Windows alle Updates drauf? Hast du das Problem auch, wenn du alle kleinen Programme und Tools aus dem Autostart raus haust und dann einfach den PC startest? Ich meine das auch in Verbindung mit alten HDDs schon mal gesehen zu haben. Eventuell wird nach 1 Minute irgendwas bereinigt und dabei tritt quasi ein Fehler auf. Das führt dann zu der Last. Sobald du die Maus bewegst, beendet sich der Prozess dann wieder.

Muss also nicht direkt ein Virus/Miner sein...

 

[0x8100]

das sieht nicht original aus sehr clever, jede suchmaschine macht eine autokorrektur auf "shell infrastructur host"...

 

[R4ID]

Kiste platt machen, sieht aus nach Schädling…
Wenn dann müsste da „Shell infrastructure Host“ stehen

 

[SuperHeinz]

Wenn ich das richtig sehe, dann steht da sogar: "Shall infràstructure Host".

Keine Suchmaschine, die ich kenne, findet etwas unter diesem Begriff.

 

[Redundanz]

ist ein coin miner. die offizielle shell infrastructure host executable heißt "sihost.exe" und liegt im \windows\system32 ordner.

recherche zeigt, dass z.b. eine %appdata%\microsoft\libs\sihost64.exe oft als "fake" sihost fungiert und schön "brav" coins mined.

wenn du den details reiter im taskmanager öffnest findest du ja recht schnell den ort dieses schädlings und kannst ihn womöglich sofort umbenennen und das programm dann zwangsbeenden. im anschluss dann ebenfalls sofort einen komplettscan des rechners mit seriöser software (malwarebytes, eset, gdata, defender, avg, avast...) durchführen.

 

[FR3DI]

Die einzig Korrekte Handlung ist die Möhre platt zu machen

Bringt nichts weil wir das Nutzerverhalten vom TE nicht kennen. Wie hat er sich jenen Cryptominer eingefangen? Durch den Besuch von dubiosen Webseiten, durch Werbeanzeigen, durch Cracks?

Gruß Fred.

 

[chrigu]

malwarebytes sollte den selbst installierten käfer finden

 

[Hellstark_King]

Ich hab jetzt noch nen 2. Aber diesmal genau das selbe nur nicht mit der graka sondern mit der CPU und der Task heißt anders

Ergänzung (24. Oktober 2023)

Das mit der garka ist aber iwie weg
Ich lasse Garde diverse Schadsoftware Scans durchlaufen im der Hoffnung das ein Programm was findet

Ergänzung (24. Oktober 2023)

Jetzt lässt ein tast namens COM Surrogàte die CPU am Anschlag laufen

 

[BFF]

Mach die Kiste NEU! @Hellstark_King

Allein wegen dem hier.

Danke @0x8100 fuer das Bild. 👍

Mehr ist dazu nicht zu tippen.

 

[FR3DI]

Mach die Kiste NEU!

Und in ein paar Tagen ist alles wieder beim alten.

Gruß Fred.

 

[BFF]

Dafuer kann unsereiner nix. 🤷‍♂️
Ist ja nicht so das hier nix getippt wurde. @FR3DI

 

[CoMo]

Bitte ein FRST-Log posten.

 

[Hellstark_King]

Was ist das?