疑似出现svchost.exe被劫持

boat7 · 发表于 2018-4-9 03:09:08

本帖最后由 boat7 于 2018-4-9 03:36 编辑

系统win10 64位，svchost.exe占用大量CPU资源，频繁出现出现蓝屏现象0x000000ef，重新在品牌网站上安装驱动问题依旧。在该服务出现后关机/重启会导致蓝屏

lity · 发表于 2018-4-9 09:47:25

您好！

麻烦您将以下目录的Dump（扩展名为：dmp）文件压缩跟帖上传：

%SystemRoot% ¹ \Windows\MEMORY.DMP
%SystemRoot%\Windows\Minidump\*.dmp

我们帮您看一下是什么问题，感谢您的反馈~~~

boat7 · 发表于 2018-4-9 11:23:44

本帖最后由 boat7 于 2018-4-9 11:32 编辑

dump文件见网盘

https://www.jianguoyun.com/p/DbjEnzwQhY3vBRi5gEw (访问密码：BpUs5q)

lity · 发表于 2018-4-9 11:36:01

boat7 发表于 2018-4-9 11:23
dump文件见网盘

收到~

lity · 发表于 2018-4-9 17:15:44

boat7 发表于 2018-4-9 11:23
dump文件见网盘

您好，dump中看是系统关键进程崩溃或退出，如果您能复现的话，麻烦您加一下QQ：2087707659，我们帮您看一下~~~

boat7 · 发表于 2018-4-9 17:19:29

好的。昨天晚上频繁出现蓝屏，修改过一些操作后，暂时没有出现蓝屏。如果再次可重复复现，会联系技术的

lity · 发表于 2018-4-9 17:24:43

boat7 发表于 2018-4-9 17:19
好的。昨天晚上频繁出现蓝屏，修改过一些操作后，暂时没有出现蓝屏。如果再次可重复复现，会联系技术的 ...

好的呢~

debug · 发表于 2018-4-9 17:32:48

我看了下dump是 ntdll.dll蓝屏，指向的PROCESS_NAME是 svchost.exe。CRITICAL_PROCESS_DIED (ef) A critical system process died

boat7 · 发表于 2018-4-13 21:02:38

检测到这个进程，连接有188.42.242.221:9999，直接浏览器访问出现“Mining Proxy Onlin”提示符，稍后附上相关截图

由于火绒剑崩溃，待svchost.exe进程重新出现，附上截图。

附：已经将服务项“Windows Update”“Superfetch”禁用。

vardyh · 发表于 2018-4-13 21:55:12

boat7 发表于 2018-4-13 21:02
检测到这个进程，连接有188.42.242.221:9999，直接浏览器访问出现“Mining Proxy Onlin”提示符，稍后附上 ...

方便的时候加下楼上工程师的QQ我们远程看下吧

CANDY77 · 发表于 2018-4-14 10:21:38

楼主也可以加QQ：1959360994 我们帮您远程看下~

boat7 · 发表于 2018-4-15 22:25:49

通过使用UnHackMe对电脑扫描，发现了异常文件，未进行处理，现将文件打包上传。

压缩包中有3个文件。有一个因为和其他2个文件一样修改时间异常一并上传

boat7 · 发表于 2018-4-15 22:34:58

本帖最后由 boat7 于 2018-4-15 22:36 编辑

出现大量占用CPU进程后
打开任何位置文件夹名为“UnHackMe”，资源管理器都会崩溃。
UnHackMe也无法启动。

偶发性的检查到
会在C盘根目录下创建各种乱码文件夹（属于被操作系统保护的文件）。随意挑选一个文件夹上传（因为提示不能上传零字节文件，上传在网盘。https://www.jianguoyun.com/p/DTJq3TIQhY3vBRiRzE0 (访问密码：EfCGMj)）

会在“高级安全Windows Defender 防火墙”中创建大量“C:\WINDOWS\SysWOW64\svchost.exe”允许规则

boat7 · 发表于 2018-4-15 22:37:49

咋明后2天会在QQ上联系技术人员的

boat7 · 发表于 2018-4-15 22:42:00

上传2次出现占用CPU进程的截图