30~40%のCPUと2~4 GBのRAMを使用するdwm.exeも、疑わしい接続を作成します

NikoG&# 受付中最終更新日:2021-12-27 07:03

1~2か月前、コンピューターがCryptoCoinMinerに感染していることに気づきました.Windowsプロセスになりすまして、system32にインストールし、偽のWindowsIDを使用してプロセスを実行しました.

数え切れないほどのウイルス除去ツールScanの後、それらのどれもそのウイルスを発見しなかったので、私はそれを手動で除去しました.

TcpViewとProcessExplorerを使用して、特定の* .exeファイルに釘付けにし、ポートをブロックし、ファイルを削除しました.その後、その疑わしいプロセスは表示されなくなりました.

しかし、それで終わりではないようです.数週間前、dwm.exeプロセスがCPUの約30~40%を消費し、2~4GBのRAMが必要であることに気付きました.

Dwm.exeは、特にIntel i7 9700K(OC)を使用していて、ハードウェアアクセラレーションを有効にしているため、リソースをそれほど多く使用する理由はありません.

いくつかのグーグル検索の後、私は悪いドライバーまたはいくつかのグラフィック設定がこの問題を引き起こす可能性があることを発見しました.しかし、すべてのドライバーを更新し、グラフィック効果を最小限に抑えた後でも、何も変わりませんでした.

ただし、セーフモードで起動すると、この問題は解決するようです.だから私は自分自身に思いました:「私は私のPCに別のマイナーマレウェアを持っていると思いますが、それは削除ツールによって検出されていません.あるいはそれは最後のWindowsUpdateのバグかもしれません.Windowsを再インストールする前にしばらく待ってください.".

今日、私はこれを少し調べて、ProcessExplorerでdwm.exeを開くことにしました.dwm.exeがgooglesDNSサーバー(8.8.8.8.)に接続するだけでなく、かなり奇妙なURL(static.27.12.130.94.clients.your-server.de)にも接続することに気づきました.

それを開くと、「マイニングプールオンライン」というテキストが表示されました.ええと、私はその時だったと思います.

そこで、これらすべてのスキャナーを再度実行し、dwm.exeが使用していたポートをブロックし(その後、別のスキャナーを使用しました)、プロセスを強制終了して、すぐに再起動しました.実行中のすべてのプロセスをチェックし、「Autoruns.exe」を使用してVirusTotalで自動起動しましたが、疑わしいものは何もありませんでした.SOme WIndows Servicesには1つまたは2つのアラートがありましたが、74のうち5を超えるものはありませんでした.

それで私は助けを求めてこの場所に来ました.Windowsを再インストールして、すべてのプログラムを再度インストールしたくありません.悪意のある自動開始エントリが存在する必要があります...何か私のPCのどこかで、見ているのかわからない...

ここにいくつかの写真があります、多分それらは役立つでしょう:

編集:そうそう、私は言及するのを忘れました、dwm.exeが時々接続を閉じて、ほんの数分間アイドル状態になることを.その後、リソースの半分を使用するようになります...

返信リスト(回答:6)

1 #

RobB. 2021-06-24 04:45

はい、hostsファイルや設定は、WindowsEngineのさまざまな部分の機能に影響を与える可能性があります.残念ながら、私たちはここにいるあなたのようなすべてのユーザーであるため、あなたの質問への答えは私のレベルをはるかに超える誰かから来なければなりません.GitHubまたはMSDNで開発中の人は、答えがあるかもしれません.
率直に言って、私はまだ完全なワイプを実行します-パーティションとすべてを削除し、Windowsのクリーンインストールを行います.
ここで助けるために、
ロブ

3 #

RobB. 2021-06-23 10:42

マルウェアがクリアされたとしても、Windowsシステムの問題が発生するなど、システムに損傷があった可能性があります.ですから、あなたは明らかに自分が何をしているのか知っていますが、私はクリーンインストールを真剣に検討します.クリーンインストールは、デジタルエンタイトルメントによってアクティブ化されます.
まず、多くのツールを使用しましたが、これらを使用して、フォーマットやクリーンインストールに耐えられるルートキットやマルウェアがないことを確認することをお勧めします(はい、それらは存在します).
TDSSKiller.exe.-デスクトップにダウンロードします-次に移動して右クリックします-管理者として実行すると、実行後にレポートに感染が表示されます-実行されない場合は、名前をtdsskiller.exeからtdsskiller.comに変更します.何かが見つかったかどうかは、以下の他の方法で確認するべきではないという意味ではありません.
https://support.kaspersky.com/viruses/solutions?...
AdwCleaner
https://www.bleepingcomputer.com/download/adwcle...
Hitman Proは、実行したすべてのセキュリティ対策(ウイルス対策ソフトウェア、ファイアウォールなど)にもかかわらず、コンピューターに感染したマルウェア(ウイルス、トロイの木馬、ルートキットなど)からコンピューターを救済するように設計されたセカンドオピニオンスキャナーです.).
https://www.surfright.nl/en/hitmanpro
EmsiSoft緊急キット-無料-(プロンプトが表示された場合はソフトウェアをインストールしないでください.ただし、スキャナーを実行できるように、ダウンロードしたZIPファイルを解凍してください).
https://www.emsisoft.com/en/home/emergencykit/
Windows Defenderオフラインとは何ですか?
https://Windows.Microsoft.com/ja-jp/Windows/what...
WindowsDefenderオフラインシステム要件
Windows.Microsoft.com/ja-jp/Windows.... --------------------------------------------------------
必要に応じて、ここに役立つオンライン無料スキャナーがいくつかあります
https://www.eset.com/onlinescan/ ----------------------------------
無料オンラインScan
グーグル検索:

クリーンインストールは、デジタルエンタイトルメントでアクティブ化されます.
Windows 10メディア作成ツールを使用してUSBドライバを作成します.<-[今すぐツールをダウンロード]ボタンをクリックすると、利用可能な最新versionが表示されます
https://www.Microsoft.com/ja-jp/software-downlo...
または他の人のために-windows 10用のブータブルインストールメディアを準備する方法-DVD、USB、またはSDカード
Windows 10用のブータブルインストールメディアを準備する方法-DVD、USB、またはSDカード
windows 10のクリーンインストールから始めましょう
https://www.Microsoft.com/ja-jp/software-downlo...
クリーンインストールwindows 10
クリーンインストールwindows 10
ここで助けるために、
ロブ

結果と、さらにサポートが必要な場合はお知らせください.フィードバックは間違いなく私たちがすべてを助けるのに役立ちます.

応答3# ->にスキップ
2 #
NikoG 2021-06-23 18:33
こんにちはロブ、
お時間を割いていただきありがとうございます.
私はそれらすべてのスキャナーを試しましたが、どれも何も見つかりませんでした.しかし、CPU使用率が高いことを一時的に修正する方法を見つけました.ファイアウォールでマイナーが使用するIPアドレスをブロックしました.ウイルスには2つのフォールバックIPがあったようですが、それらもブロックした後、マイナーはマイニングプールから「ジョブ」を取得していません.
これは良い修正ではありませんが、少なくともビットコインなどをマイニングするために私のリソースを使用することをやめました.
また、マイニングマルウェアの起動に明らかに使用されていた奇妙なスタートアップエントリも削除しました.しかし、私はすでにその*.exeを削除したので、エントリは何もしていませんでした.
私が得られないのは、元のWindowsプロセスであるdwm.exeがビットコインのマイニングに使用される理由です.そんなことがあるものか?ファイルを確認しましたが、実際には、親の「Winlogon.exe」によって呼び出された元のdwm.exeです.
したがって、何かがそのマイニングプールに接続するためのプロセス呼び出しを乗っ取っているようです.しかし、私はそれがどのように可能であるかを理解していません.グーグル検索の結果、Windows 7(私は思う)でホストファイルを編集して、どういうわけかdwm.exeを使用してインターネットに接続できることがわかりました.
だから私の質問は、グラフィカルな問題を処理するために使用されるプロセスが悪意のあるURLへのinterentに接続しているというdwm.exeに正確に何が起こっているのかということです.そして、このプロセスが何らかのビットコインをマイニングするために使用されているように見えるのはどうしてですか?
これがファイルのスクリーンショットです.おそらくそのファイルの悪意のあるversionです...

4 #

CarloTJ 2021-06-22 23:16

グッドデイニコゲッツェ、
このスレッドに戻っていただきありがとうございます.すでにこれらの手順を試している場合は、これはオープンフォーラムであるため、心配はいりません.コミュニティの他の誰かがこの問題に関するアイデアや解決策を持っている可能性があります.このスレッドは開いたままにしておきます.
素晴らしい一日をお過ごしください.安全を確保してください.
心から、
カルロT.

6 #

CarloTJ 2021-06-22 23:06

グッドデイニコゲッツェ、
Windows 10pcも使用しています.これを整理するために協力しましょう.
試すことができる手順は次のとおりです.
-Windowsキー+ Xを押します
-[設定]をクリックします
-プライバシーに移動
-バックグラウンドアプリを探す
-「アプリをバックグラウンドで実行する」をオフにします
完了したら、以下のこのリンクにアクセスして、これらの手順を実行できます.
デスクトップwindows マネージャーdwmexe
これらの手順を実行したら、無料versionのMalwarebytesスキャナーをダウンロードしてインストールし、システムで実行されているマルウェアがないかどうかを確認できます.
ダウンロードするためのリンクは次のとおりです.
mwbダウンロード
ダウンロードしてインストールしたら、アプリを開いてScanを実行します.
Scanが終了したら、cleanbootを使用してコンピュータを再起動します.
support.Microsoft.com/ja-jp/topic...
コンピュータを再起動して確認します.
素晴らしい一日をお過ごしください.安全を確保してください.
心から、
カルロT.

応答6# ->にスキップ
5 #
NikoG 2021-06-22 23:21
こんにちはCarloT.、
私の質問に答えてくれてありがとう.
上記のすべての手順は、過去数日間ですでに実行されています.Malewarebytesは、Avast、Avira、combofix、RogueKillerなどのように何も見つかりませんでした...
Windowsversionではパフォーマンストラブルシューターが無効になっているようですので、実行できません.
パフォーマンス設定を変更しても効果はありませんでしたが、すでに試しました.
他にできることはありますか?