Korben2206
Lt. Commander Pro
- Registriert
- Nov. 2019
- Beiträge
- 1.278
Hi,
eine kleine Analyse...:
Mir ist neulich aufgefallen das meine CPU-Last immer bei ca. 33% liegt, obwohl ich eigentlich kaum Programme laufen habe.
Dann wollte ich mit dem TaskMgr mal nachschauen was da los ist, aber sobald ich den öffne, sinkt die Last auf unter 10%...
Also hab ich mir erst mit Powershell mal die laufende Prozesse angeschaut und dann mit NTop, dabei ist mir ein Prozess namens cmd.exe aufgefallen der ständig bei ca. 25% CPU Last...
Läuft im SYSTEM-Kontext, also nix was ich starten würde.
Man kann auch beobachten wie er sinkt sobald man den Taskmanager aufmacht.. naja, als wenn er sich bei "Beobachtung" schlafen legt..
Die cmd.exe ansich ist natürlich erstmal nix besonderes, Windows Kommandozeile. Lt. Prozessinfo ist es auch die aus dem System32 Verzeichnis. Aber in einer cmd kann natürlich alles mögliche laufen.. leider finde ich nicht heraus was...
Lustigerweise fährt die Last sich auch runter wenn ich ProcessExplorer starte...
Sobald man den TaskManager oder ProcessExplorer schließt, dauert es 2-3 Sekunden dann geht die CPU-Last wieder auf über 30%..
Mit tcpview und procmon habe ich herausgefunden das der Prozess offenbar eine TCP Verbindung zu fornex.cloud hat.. einem Cloud-Dienstleister...?
Dann hab ich mir mal die die Austostarts angeschaut mit Hilfe von Sysinternals autorun-Tool. Und dabei ist mir ein Dienst namens "main64" aufgefallen, der auf "Automatisch starten" steht und mir nichts sagt. Google brachte auch keine Aufklärung, vermute mal der Name ist zu "generisch" (nicht ganz unschlau gewählt).
Das Verzeichnis ProgramData ist schon mal sehr verdächtig für einen Dienst, das sollte da mMn nicht liegen.
Die Datei mainsys64.exe ist 735MB groß (leider zu groß für Virustotal) und liefert keinerlei Infos über den Hersteller.
Das Änderungsdatum ist relativ interessant, weil es relativ kurz (ca. 1 Woche) nach der Installation des Rechners gewesen sein dürfte.
In dem Verzeichnis liegen noch jede Menge anderer Dateien, das meiste von Microsoft. Ich nehme an das sind ganz normale Runtime-Dateien welche die Software benötigt.
Jedenfalls habe ich den Dienst mal auf "deaktiviert" gestellt und das Verzeichnis umbenannt, nur um sicher zu gehen. Und siehe da: nach einem Neustart bleibt die CPU Last unten und kein CMD-Prozess taucht mehr auf.
Ich weiß nicht genau was das die Software macht, vermute aber mal es ist ein Miner. Würde ich vom Verhalten jedenfalls so einordnen. Den Rechner werde ich am Wochenende dann trotzdem neu installieren.
Da ich Anfangs immer recht viel Software installiere (alles was ich halt so brauche) werde ich diesmal nach jeder Installation prüfen, ob das Verzeichnis oder der Dienst wieder auftaucht. Bin gespannt.
Ich habe diesen Post über 2 Tage geschrieben, und wollte eigentlich fragen ob da jemand eine Idee hat. Dann ist mir immer wieder was neues eingefallen was ich prüfen kann und am Ende hab ich den Verusacher gefunden. Dachte es wäre trotzdem ganz interessant für manchen, deshalb poste ich es trotzdem mal
eine kleine Analyse...:
Mir ist neulich aufgefallen das meine CPU-Last immer bei ca. 33% liegt, obwohl ich eigentlich kaum Programme laufen habe.
Dann wollte ich mit dem TaskMgr mal nachschauen was da los ist, aber sobald ich den öffne, sinkt die Last auf unter 10%...
Also hab ich mir erst mit Powershell mal die laufende Prozesse angeschaut und dann mit NTop, dabei ist mir ein Prozess namens cmd.exe aufgefallen der ständig bei ca. 25% CPU Last...
Läuft im SYSTEM-Kontext, also nix was ich starten würde.
Man kann auch beobachten wie er sinkt sobald man den Taskmanager aufmacht.. naja, als wenn er sich bei "Beobachtung" schlafen legt..
Die cmd.exe ansich ist natürlich erstmal nix besonderes, Windows Kommandozeile. Lt. Prozessinfo ist es auch die aus dem System32 Verzeichnis. Aber in einer cmd kann natürlich alles mögliche laufen.. leider finde ich nicht heraus was...
Lustigerweise fährt die Last sich auch runter wenn ich ProcessExplorer starte...
Sobald man den TaskManager oder ProcessExplorer schließt, dauert es 2-3 Sekunden dann geht die CPU-Last wieder auf über 30%..
Mit tcpview und procmon habe ich herausgefunden das der Prozess offenbar eine TCP Verbindung zu fornex.cloud hat.. einem Cloud-Dienstleister...?
Dann hab ich mir mal die die Austostarts angeschaut mit Hilfe von Sysinternals autorun-Tool. Und dabei ist mir ein Dienst namens "main64" aufgefallen, der auf "Automatisch starten" steht und mir nichts sagt. Google brachte auch keine Aufklärung, vermute mal der Name ist zu "generisch" (nicht ganz unschlau gewählt).
Das Verzeichnis ProgramData ist schon mal sehr verdächtig für einen Dienst, das sollte da mMn nicht liegen.
Die Datei mainsys64.exe ist 735MB groß (leider zu groß für Virustotal) und liefert keinerlei Infos über den Hersteller.
Das Änderungsdatum ist relativ interessant, weil es relativ kurz (ca. 1 Woche) nach der Installation des Rechners gewesen sein dürfte.
In dem Verzeichnis liegen noch jede Menge anderer Dateien, das meiste von Microsoft. Ich nehme an das sind ganz normale Runtime-Dateien welche die Software benötigt.
Jedenfalls habe ich den Dienst mal auf "deaktiviert" gestellt und das Verzeichnis umbenannt, nur um sicher zu gehen. Und siehe da: nach einem Neustart bleibt die CPU Last unten und kein CMD-Prozess taucht mehr auf.
Ich weiß nicht genau was das die Software macht, vermute aber mal es ist ein Miner. Würde ich vom Verhalten jedenfalls so einordnen. Den Rechner werde ich am Wochenende dann trotzdem neu installieren.
Da ich Anfangs immer recht viel Software installiere (alles was ich halt so brauche) werde ich diesmal nach jeder Installation prüfen, ob das Verzeichnis oder der Dienst wieder auftaucht. Bin gespannt.
Ich habe diesen Post über 2 Tage geschrieben, und wollte eigentlich fragen ob da jemand eine Idee hat. Dann ist mir immer wieder was neues eingefallen was ich prüfen kann und am Ende hab ich den Verusacher gefunden. Dachte es wäre trotzdem ganz interessant für manchen, deshalb poste ich es trotzdem mal
