Svchost sin nombre 50% de CPU usando y no puedo acceder a la "pestaña Servicio"

Parece que es un virus crypto miner. Una vez me sucedió. Me di cuenta cuando escuché mi red usando Wireshark . Se ordenó a svchost que se comunicara con un servidor de monedas de Monero. Encontré la única solución restaurando mi disco C. Disculpe, no puedo encontrar una buena solución. Tuve que escribir esto como un comentario, no como una respuesta, pero mi reputación no es suficiente para comentar, y me gustaría advertirle sobre el virus de los mineros según mi experiencia;

1. Es un malware que se infecta en svchost.exe, por lo que no es posible eliminarlo ya que Windows lo reconoce como un proceso del sistema.
2. Por lo general, sus codificadores funcionan muy bien para que virustotal o cualquier anti-malwares no puedan detectar nada.
3. No intente iniciar sesión en la interfaz de su enrutador mientras tenga este malware, ya que robará las credenciales de su enrutador y cambiará la configuración de proxy o dns.
4. No haga compras en línea con su banco o tarjetas de crédito en esta computadora infectada.
5. No es solo un virus minero. Es un troyano fuerte que tiene muchas capacidades, como deshabilitar Windows Defender, interrumpir las actualizaciones de Windows. (Esa es la razón por la que su restauración está fallando), escuchar sus golpes de teclado, también podría estar obteniendo capturas de pantalla.

Windows 10 tiene una función para volver a instalar nuevamente sin eliminar sus archivos personales. Restaure Windows 10 a la configuración de fábrica. Esto definitivamente te salvará del peligroso troyano.

Intento explicar un poco. svchost.exe se utiliza para (por ejemplo) iniciar un servicio. Entonces, lo que ve allí también se puede registrar como un Servicio que en su mayoría se puede identificar al verificar los Servicios en ejecución y también si no puede abrir la GUI para los servicios, hay otras formas de verificar los Servicios en ejecución como:

• ejecute un shell de comandos elevado (cmd.exe con derechos administrativos) y escriba: services.msc presione enter y espere un poco
• ejecute un powershell elevado (powershell.exe con derechos administrativos) y escriba: Get-Service | ? {$_.Status -eq 'RUNNING'} | ft -AutoSize
• ejecute un powershell elevado y escriba: Get-Service | ? {$ _. Estado -eq 'RUNNING'} | fl

Ambos comandos de PowerShell hacen lo mismo pero dan un resultado diferente:

• ft significa: Formato como tabla (-Autosize es para una mejor lectura)
• fl significa: Formatear como una lista (da más detalles)

Después de obtener la lista de servicios en ejecución e identificar el "mal", una vez que pueda usar sc.exe para detener / deshabilitar este servicio, reiniciar su máquina y también delete este servicio.

Pero realmente hay más formas de hacer esto y también podría ser que este servicio se reinstale después de un reinicio con Autorun en el arranque.

Parece un minero de cifrado: el uso elevado de la CPU, no se puede ver desde el Administrador de tareas, resiste la detección y el asesinato.

La ubicación del origen del svchost.exe afectado no solucionará tu problema. Gracias a una técnica llamada Process Hollowing , el malware iniciará el legítimo svchost.exe en estado suspendido, cambie parte del proceso. Estructura para cargar su propio código en lugar del código de svchosts e iniciarlo. En el Administrador de tareas, se carga svchost.exe , pero el código en ejecución es otra cosa.

Si utiliza ProcDump en el proceso en ejecución y lo compara con el código svchost legítimo, Veremos cosas muy diferentes.

Soluciones?

Solución fácil: destruye la órbita, recupera copias de seguridad.

Solución difícil: cree una máquina virtual, tome una instantánea, vuelva a instalar el programa sospechoso, compare las instantáneas. Inicie Windows en modo seguro, elimine los archivos modificados.

Solución muy difícil: tome Utilidades de proceso de la suite de Sysintenals , comience en Modo seguro , investiga todo lo que se está cargando al iniciar sesión. Desactive un grupo de procesos a la vez, reinicie en modo normal, vea si el minero regresó. Repite hasta que tomes el proceso exacto.

No instale software que no sea de confianza. Si realmente tiene que hacerlo, instale en una caja de arena. Sandboxie es uno que he usado desde hace mucho tiempo, es conveniente y funciona bien. Puede protegerse de la mayoría de los programas maliciosos integrados, pero no es lo suficientemente seguro como para ejecutar programas maliciosos bien escritos que puedan detectarlos, evadirlos y atacarlos. La otra opción es ejecutar software no confiable dentro de una VM. Pero, de nuevo, esto no es a prueba de balas, ya que algunos programas maliciosos también pueden detectar y escapar de una máquina virtual, pero probablemente no esté ejecutando uno de esos.