今天收到了用户的报告,计算机缓慢,似乎已被未知的病毒或恶意软件感染。除了缓慢之外没有特殊症状。

1.检查任务管理器和资源监视器

有一个过程smss.exe哪个描述是“微软?基于控制台的脚本主机“所有时间使用近75%的CPU。

来自任务管理器,我发现系统在很小时前在很清晨,用户不在身边。

此外,无论您如何结束此过程,它将在10秒内回来并将您的CPU远离并使用约4M内存。

如果您对所有用户分类的所有流程,您将发现有另一个smss.exe哪个描述是Windows会话管理。

2.检查此SMSS.exe的网络流量
从“资源监视器中的”网络“选项卡中,您会发现此可疑过程SMSS.exe正在传输到端口14444上的远程地址51.15.69.136。

3.暂停此过程
由于大多数CPU资源被此软件带走,因此您可能需要
自结束过程不起作用,您可以做的最好的是暂停资源监视器右键单击上下文菜单中的流量(开始菜单 - > run -> resmon).

3.1访问资源监视器(您可以在其中挂起过程中的):
一种。来自任务经理

  • 使用Ctrl-Shift-Esc或Ctrl-Alt-Delete或其他打开Windows任务管理器的方法。
  • 单击“性能”选项卡。
  • 在任务管理器的下半部分,单击“资源监视器”按钮。

湾从开始菜单

  • 单击“开始”菜单
  • 点击所有程序
  • 单击配件
  • 单击运行
  • 键入Resmon.exe并按Enter键 

C。使用运行命令

  • 使用[winkey] -r打开运行命令
  • 键入resmon.exe并按Enter键或返回

注意:Perfmon是性能监视器。 resmon是资源监视器。

3.2暂停/恢复该过程:

  • 单击“内存”选项卡
  • 右键单击要暂停的过程
  • 单击暂停进程项
  • 完成后单击“恢复过程”

4.安装 Malwarebytes. and Scan

5.分析扫描结果

Malwarebytes.阻止了两个网站连接并阻止了两个恶意软件运行。

c:\ windows \ system32 \ wbem \ scrcons.exe正在尝试在端口62903上连接wmi.my0115.ru
C:\ Windows \ HELP \ www.exe正在TRING到62909端口上连接到WW.Kuai-go.com
找到了一个特洛伊木马.Shadowbrokers恶意软件。

所有链接或远程站点包括51.15.69.136,ww.kuai-go.com和wmi.my0115.ru被列为恶意软件网站 virustotal.com.

6.删除那些可疑文件并重新运行Malwarebytes以确认系统清洁

注意:许多用户会在思考系统慢一段时间重新启动。事实是,在重新启动后,SMSS.exe可能不会回来的过程。他们将产卵并重新启动另一个程序来替换这一点。我试图搜索这个smss.exe在哪里,但找不到一个。这是我在这台电脑上的搜索结果。

经过 jonny.

发表评论