这是一个创建于 2194 天前的主题,其中的信息可能已经有所发展或是发生改变。
我在 hyper-v 里跑了一个 win7, 新装的, 原版 ios, 软件只有 Tim, 微信, QQ 输入法
不开任务管理器, 开资源监视器, cpu 过一会会稳定在 50%
打开任务管理器, cpu 瞬间降到 0% - 10%
尝试了几次, 屡试不爽
为啥呢...
第 1 条附言 · 2018-11-20 11:02:52 +08:00
第 2 条附言 · 2018-11-20 22:40:16 +08:00
结帖了, 确认是木马。 谢谢各位的支持。
 |
1
flynaj 2018-11-19 16:36:54 +08:00 via Android
看看是哪个占有 CPU
|
 |
2
jasonyang9 2018-11-19 16:36:58 +08:00
几个服务关掉试试:Windows Search,superfetch,
|
 |
3
mengyang624 2018-11-19 16:38:42 +08:00
去资源监视器 CPU 那一页看谁在跑
|
 |
4
elfive 2018-11-19 16:40:21 +08:00
源监视器好像可以看到占用 CPU 的程序( PID )吧
|
 |
5
helionzzz 2018-11-19 16:46:35 +08:00  1
强迫症纠正一下 原版 iso。。
|
 |
6
lmmortal 2018-11-19 16:52:52 +08:00 via iPhone
楼主的意思是那几个程序中某些程序检测到运行了 taskmgr.exe 就……?
|
 |
7
sdxlh007 2018-11-19 17:40:01 +08:00
话话我这并没有这种情况,资源监视器开了半小时了。。。
原版 Microsoft Windows [版本 10.0.17134.376] |
 |
8
aihidao 2018-11-19 17:56:51 +08:00
明说 win7 暗指腾讯。 /斜视.jpg
|
 |
9
codingKingKong OP |
|
10
codingKingKong OP @jasonyang9 已关闭, 内存下来一大截, 厉害~ 然而 cpu 还是那样, 我把 cpu 从双核改成单核分配, 变成 100%了
|
|
11
codingKingKong OP |
|
12
codingKingKong OP @helionzzz 啊, 下午查了个 ios 渠道的 bug...
|
 |
13
janus77 2018-11-19 18:50:15 +08:00 via iPhone
不管是谁干的,还好我平时都默认一直开着任务管理器不关……
|
 |
14
dremy 2018-11-19 18:52:53 +08:00 via iPhone
它在跟 lz 玩躲猫猫呢
|
 |
15
zhangyoucaiyo 2018-11-19 22:04:51 +08:00
我也一直好奇这个问题 就只开一个 chrome 网页看斗鱼 正常情况 CPU 连 10%都不到 有时候莫名其妙听见风扇就疯了,打开任务管理器的瞬间看到 CPU 占用到 7.80 的样子 然后瞬间降下来
|
|
16
jasonyang9 2018-11-19 22:08:38 +08:00
@codingKingKong #10 我说漏了一个,Windows Update 服务也关掉试试
|
 |
17
lurple 2018-11-19 22:13:51 +08:00 via Android
我也遇到过,明天试试#2 楼的方法
|
 |
18
xmtudgzy 2018-11-19 22:53:59 +08:00
Win10 1803 X64 企业版,也有这毛病,只要几分钟不动鼠标,大概率风扇狂转,立马打开任务管理器,CPU 占用迅速回归正常。
|
 |
19
sunsulei 2018-11-20 00:32:01 +08:00
好像是闲时自动内存压缩。不负责任的说。
|
 |
20
web233 2018-11-20 09:59:14 +08:00
我 win10 也是哎 ...
|
|
21
codingKingKong OP @janus77
@dremy @zhangyoucaiyo @lurple @xmtudgzy @sunsulei @web233 我这是稳定单核 100%, 双核 50%, 线程数最高: NT Kernel & System 92 svchost.exe(netsvcs) 37 腾讯系进程全杀了依旧 @jasonyang9 update 已停止, 依旧... @all 如图: http://codeh.cn/old/image/before.jpg http://codeh.cn/old/image/after.jpg |
|
22
jasonyang9 2018-11-20 11:11:52 +08:00
@codingKingKong #21 查下这个 msdtc.exe , 关了 Distributed Transaction Coordinator 服务试试
https://zhidao.baidu.com/question/1447452659686881900.html?qbl=relate_question_0 |
|
23
codingKingKong OP @jasonyang9 已禁+停止, 依旧...
|
|
24
jasonyang9 2018-11-20 11:57:29 +08:00
@codingKingKong #23 如果 DTC 服务已停止,那占用 100%的是哪个进程?
|
|
25
codingKingKong OP @jasonyang9 SearchIndexer.exe Microsoft Windows Search 索引器.
|
|
26
jasonyang9 2018-11-20 16:55:13 +08:00
@codingKingKong #25 索引服务不是被关了么?
|
|
27
codingKingKong OP @jasonyang9 等等, 我设置成手动的服务自己跑起来了, 我彻底禁掉试一下.
|
|
28
codingKingKong OP @jasonyang9 现在是 svchost.exe windows 服务主进程
|
|
29
codingKingKong OP @jasonyang9 我看了一下这个进程的网络活动, 指向了 ip:216.250.99.52:443
|
|
30
jasonyang9 2018-11-20 17:07:21 +08:00
@codingKingKong #28 svchost.exe 100% 表示还有某个服务异常。
https://answers.microsoft.com/en-us/windows/forum/windows_7-performance/abnormally-high-cpu-usage-from-svchostexe-solved/eb38d25d-6bb2-47cd-80f2-5389c62337be 用 Process Explorer 看看是哪个服务 |
|
31
codingKingKong OP @jasonyang9 现在 svchost.exe 下去了, ctfmon.exe 上来了, 我试试 Process Explorer
|
 |
32
urmyfaith 2018-11-20 17:33:00 +08:00
双缝干涉 了解一下.
|
|
33
codingKingKong OP @urmyfaith 嗯哼?
|
 |
34
cdwyd 2018-11-20 17:47:28 +08:00 via Android
我的 win10 也是这个问题
|
|
35
codingKingKong OP @jasonyang9
http://codeh.cn/old/image/912.jpg http://codeh.cn/old/image/12236.jpg service 如图, 看不出哪个是非正常服务~ |
|
36
cdwyd 2018-11-20 18:09:22 +08:00
我刚才又同时开了另一个检测 cpu 频率的软件,发现只有在打开任务管理器的瞬间 cpu 会飙升一下,感觉可能是任务管理器本身为了获取各项数据导致的 cpu 占用升高。
|
|
37
codingKingKong OP @cdwyd 我的是一直在飙升着的, 目前追查到 pid 固定为 912 的一个 svchost.exe 进程, 虽然我禁用了 windows search, 仍然启动了 searchIndexer.exe 进程
|
|
38
cdwyd 2018-11-20 18:19:24 +08:00 via Android
@codingKingKong
那可能真的是哪里有问题了,待机状态,就算开了浏览器等常用软件大部分时候还是个位数的。 |
 |
39
dongya 2018-11-20 18:31:44 +08:00
你打开资源管理器的时候, 资源管理器也占用 cpu 呀
|
 |
40
crab 2018-11-20 18:39:19 +08:00
搜索了下你说的那 IP,是挖矿的。
|
|
41
codingKingKong OP |
|
42
codingKingKong OP @crab 我找到了它的配置文件和输出日志.
|
 |
43
maplerecall 2018-11-20 18:48:39 +08:00
听起来很像挖矿木马的行为……所以还是尽量避免使用各种奇奇怪怪的东西,包括来历不明的 PE、激活工具之类的
|
 |
44
jhytxy 2018-11-20 18:51:58 +08:00 via iPhone
卧槽有意思了
那是怎么感染的呢 |
|
45
codingKingKong OP @maplerecall 是一个叫做 DOULE PULSAR 的后门程序.
|
|
46
jhytxy 2018-11-20 18:53:23 +08:00 via iPhone
哦激活器啊
拜拜我走了... 就是怕这些玩意都是 kms 激活.. |
 |
47
JiZhiDeboy 2018-11-20 19:00:14 +08:00
6 月份我新买的电脑 win10 也出现了这个问题
电脑放那不动任务管理器开着 过一会 cpu 占用突然就涨起来了,然后我移动鼠标马上降下来了,为此我特意查了一下好像是系统的防休眠还是啥来着 我记不清了, 有兴趣的自己查一下。。。 |
|
48
codingKingKong OP @JiZhiDeboy 我的是木马, 已确认。
|
|
49
codingKingKong OP @jasonyang9 感谢提供的支持, 已确认是木马, 通过 445 或 3389 传播, 会伪装成系统进程访问境外 ip。
|
|
50
jasonyang9 2018-11-21 08:38:20 +08:00
@codingKingKong #49 可怕,还真是木马病毒。不干净的激活工具搞出来的?
|
|
51
codingKingKong OP @jasonyang9 还不确认, 因为我把防火墙关了, 不知道是激活工具的原因还是局域网内有机器感染了, 传播给我的
|
 |
52
cpdyj0 2018-11-27 22:00:38 +08:00
今天碰到一个,任务管理器显示是 win32 应用安装程序,检测到 taskmgr 就暂停,cmd 被自动关闭,CPU 狂飙感觉是某种挖矿程序
|
|
53
codingKingKong OP @cpdyj0 我中的那个比较简陋, 直接输出了日志, 你可以 process explorer 抓一下它执行的命令, 去看看有没有可疑的可读文件
|
Select Language
