myGully.com

myGully.com (https://mygully.com/index.php)
-   Sicherheit & Anonymität (https://mygully.com/forumdisplay.php?f=65)
-   -   LoudMiner Miningvirus in Downloads von vstcrack.com (https://mygully.com/showthread.php?t=5877415)

tmuplayer33 03.06.20 13:35
LoudMiner Miningvirus in Downloads von vstcrack.com
 
Hallo zusammen,

ich möchte euch hiermit vor allen Downloads der Website vstcrack.com warnen. Leider war ich so blöd und habe mir dort das ValhallaDSP Bundle runtergeladen und installiert. Nach dem ersten Reboot fiel mir auf, dass ein Prozess namens "qemu.exe" etwa ein Viertel meines CPUs und etwa die Hälfte meines Systemspeichers nutzte:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Nach etwas googeln bin ich dann auf folgenden sehr guten Artikel gestoßen:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Es handelt sich dabei um den Miningvirus LoudMiner, der in einem virtualisiertem LinuxImage die Monero cryptocurrency mined.
Im ProzessMonitor habe ich dann den ControlServer des Virus herausgefunden und die Domain direkt bei njalla.net gemeldet:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Ok als nun ans Löschen:

Zunächst habe ich den versteckten Ordner C:\Programm Files\qemu gelöscht, da in diesem die Speicherhungrige qemu.exe lag.
Nach einem Reboot konnte ich dann feststellen, welcher Windows Service den qemu Prozess gestartet hat:
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Der "SystemServices" Dienst wurde dann mit folgendem CMD command gelöscht:
sc delete "SystemServices"

LG


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:27 Uhr.

Powered by vBulletin® (Deutsch)
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.