Hallo,
Nach Vielen Jahren habe ich mir zum ersten mal einen Coinminer/Trojaner eingefangen.
Mir ist auch bekannt wo ich den herbekommen haben.
Unter Windows\SysWOW64 habe ich nun das Programm 'CompatTelRunner.exe' mit 13,3MB Größe und das taucht auch im Taskmanager unter den Prozessen unter Details mit den Namen auf.
(zur Erklärung: es gibt immer von MS auch das Programm 'CompatTelRunner.exe' allerdings ist das in dem Ordner Windows\System32 und ist auch deutlich unter 1MB klein)
Dieser Prozess nimmt sich immer schön 12% meiner CPU Leistung um für andere zu minen.
Wenn ich den Prozess kille wird der automatisch und SOFORT wieder neu gestartet.
Löschen geht nicht weil im Zugriff...
Defender erkennt das Programm als 'PUA:Linux/CoinMiner!MTB' und meckert bei jeden neuen Prozesstart, aber egal ob ich 'Blockiere' oder 'entfernen' sage wird ein Prozessneustart nicht verhindert.
Ich habe dann in der Firewall das Program 'windows\Syswow64\CompatTelRunner.exe' geblockt, und jetzt wird er zwar immer noch gestartet aber verbraucht keine CPU Last mehr weil er sich halt keine Aufträge zum Mining holen kann.
Regedit suche brachte nur Ergebnisse bei der MS Version untern system32.
Wie bekomme ich das nun weg?
Wie kann man herrausfinden auf welchen Weg der Prozess sofort wieder neu gestartet wird?
Vielen Dank.
Nach Vielen Jahren habe ich mir zum ersten mal einen Coinminer/Trojaner eingefangen.
Mir ist auch bekannt wo ich den herbekommen haben.
Unter Windows\SysWOW64 habe ich nun das Programm 'CompatTelRunner.exe' mit 13,3MB Größe und das taucht auch im Taskmanager unter den Prozessen unter Details mit den Namen auf.
(zur Erklärung: es gibt immer von MS auch das Programm 'CompatTelRunner.exe' allerdings ist das in dem Ordner Windows\System32 und ist auch deutlich unter 1MB klein)
Dieser Prozess nimmt sich immer schön 12% meiner CPU Leistung um für andere zu minen.
Wenn ich den Prozess kille wird der automatisch und SOFORT wieder neu gestartet.
Löschen geht nicht weil im Zugriff...
Defender erkennt das Programm als 'PUA:Linux/CoinMiner!MTB' und meckert bei jeden neuen Prozesstart, aber egal ob ich 'Blockiere' oder 'entfernen' sage wird ein Prozessneustart nicht verhindert.
Ich habe dann in der Firewall das Program 'windows\Syswow64\CompatTelRunner.exe' geblockt, und jetzt wird er zwar immer noch gestartet aber verbraucht keine CPU Last mehr weil er sich halt keine Aufträge zum Mining holen kann.
Regedit suche brachte nur Ergebnisse bei der MS Version untern system32.
Wie bekomme ich das nun weg?
Wie kann man herrausfinden auf welchen Weg der Prozess sofort wieder neu gestartet wird?
Vielen Dank.
