Обозреватель процессов, как найти майнера

Обновлено: 01.07.2024

Здравствуйте, у меня Windows 11 (последнее обновление). Прошлой ночью я заметил (по «кожу дождя», которая проверяет использование процессора и основного процесса), что мой процессор использовал 100% на 2 ядрах (из 6 от моего i5 9400f), когда система простаивает. При открытом диспетчере задач использование explorer.exe снижается «нормально» (то есть 1-4% в режиме ожидания).

Кроме того, я видел в запущенном процессе два explorer.exe, при открытии диспетчера задач «тот, кто подозревается», остается там, но без % использования, поэтому я попытался убить его и. догадка. Explorer не перезапускается, как обычно, когда его убивают, и «проблема» исчезает. (поэтому снова закройте процессор диспетчера задач и explorer.exe, вернитесь в «нормальную функцию»). Конечно, если перезагрузить компьютер, проблема вернется (с этим процессом explorer.exe, который загружает мой процессор, пока я снова не убью его ... и останется закрытым, к счастью, должен сказать!)

Победа. Защитник, malwarebytes ничего не обнаруживает.

Выполняя поиск в Интернете, я начинаю думать, что это какое-то вредоносное ПО для майнинга криптовалют, которое «использует» оригинальный файл explorer.exe (поскольку во всей системе не существует «поддельного» explorer.exe) для «добавления вредоносного кода майнинга». Но пока не нашел решения.

Теперь я проверяю "странный" процесс explorer.exe с помощью "Process Hacker 2" и нахожу в информационной вкладке следующие "параметры запуска" оригинального explorer.exe (так что теперь все мои подозрения - факт! ). Но, также с моим хорошим знанием систем, я не могу найти здесь решения, откуда или что выполняет эти параметры запуска.

ВРЕДОНОСНЫЕ ПАРАМЕТРЫ ЗАПУСКА:

C:\WINDOWS\explorer.exe --cinit-find-x -B --algo="rx/0" --asm=auto --cpu-memory-pool=1 --randomx-mode=auto --randomx-no-rdmsr --cuda-bfactor-hint=12 --cuda-bsleep-hint=100 --url=randomxmonero.eu-west.nicehash.com:3380 --user=3D8RFKShXUnEygTvd3ZMabw4ARhLu74KZq.Lakys --pass = --cpu-max-threads-hint=30 --cinit-stealth-targets="+iU/trnPCTLD3p+slbva5u4EYOS6bvIPemCHGQx2WRUcnFdomWh6dhl5H5KbQCjp6yCYlsFu5LR1mi7nQAy56B+5doUwurAPvCael2sR/N4 true" />

Я надеюсь, что кто-то может мне помочь, но В ОБЩЕМ Я надеюсь, что Microsoft проанализирует эту проблему, которая может затронуть многих других пользователей, и при необходимости обновит Защитник Windows.

Когда загрузка ЦП на компьютере высока, игры становятся менее отзывчивыми, частота кадров снижается, а игровой процесс тормозит. Чтобы диагностировать эти проблемы, пользователи обычно открывают утилиты диспетчера процессов, такие как диспетчер задач, Process Explorer или Process Hacker, чтобы определить, не используют ли какие-либо процессы слишком много ресурсов процессора.

Зная об этом, разработчик этого троянца для майнинга делает что-то очень хитрое; они завершают работу майнера при запуске процессов для популярных игр или менеджеров процессов. Это приводит к тому, что компьютер работает нормально при запуске определенных игр и при попытке диагностировать загрузку ЦП.

Майнер играет в прятки с популярными играми и утилитами

При установке файл с именем Iostream.exe будет создан в папке C:\ProgramData, а также будет создано запланированное задание с именем WindowsRecoveryCleaner для запуска с помощью командной строки:

Приведенная выше команда заставит задачу выполняться в 00:00 каждую ночь с повторением задачи каждую минуту. Это позволяет майнеру быстро перезапуститься после того, как он был остановлен.

Триггер запланированной задачи для WindowsRecoveryCleaner

После запуска Iostream.exe внедряется в законный исполняемый файл C:\Windows\system32\attrib.exe. Attrib используется для изменения определенных атрибутов файла и обычно закрывается после завершения. Однако, внедрив майнер в attrib.exe, программа не закроется, пока не будет завершена.

На изображении ниже видно, что attrib.exe использует 93 % ресурсов ЦП компьютера.

Обозреватель процессов переименован, показывающий майнер

Во время работы майнер будет постоянно опрашивать список запущенных процессов. Если он обнаружит процессы, запущенные для Process Explorer, Task Manager, Process Monitor, Process Hacker, AnVir Task Manager, PlayerUnknown's Battlegrounds (PUBG), Counterstrike: Global Offensive, Rainbox Six или Dota 2, он завершит attrib.exe и Iostream. exe-процессы.

После завершения отслеживаемого процесса запланированная задача снова запустит майнер в течение одной минуты. Это позволяет майнеру завершать работу по мере необходимости и автоматически запускаться снова при закрытии программы из черного списка.

Вы можете увидеть это поведение в видео ниже.

Как видите, это умный способ для майнера оставаться незамеченным, поскольку он запускается только в те моменты, когда повышенная загрузка ЦП может быть не обнаружена. В настоящее время список игр довольно мал, и я ожидаю, что другие популярные игры, такие как Fortnite, будут добавлены в будущем.

Process Explorer — это основной элемент SAP Process Mining от Celonis, мощного инструмента, позволяющего визуализировать и анализировать процессы. На рисунке 2.3 вы можете увидеть примерное отображение обозревателя процессов, показывающее все его различные функции, которые будут объяснены в следующих разделах.

Проводник процессов был разработан для отображения процессов наиболее интуитивно понятным и гибким способом: в виде модели процесса. Различные действия будут отображаться в виде узлов, переходы между действиями — в виде ребер. Каждый узел и ребро будут отображать общее количество случаев, проходящих через него, и ребра также могут быть настроены для адаптации их толщины в соответствии с этим числом (то есть ребра с высокой частотой будут толще, чем ребра с меньшей частотой).

Рисунок 2.3: Обзор Pocess Explorer

Верхняя панель навигации

На верхней панели навигации отображается до восьми различных параметров, как показано на рис. 2.4: параметры макета, фильтр вариантов, варианты отображения, средство просмотра витрины, уменьшение, увеличение, сброс выбора и сохранение (слева направо). . Однако «Сбросить выбор» будет отображаться только в том случае, если активированы какие-либо фильтры вариантов или фильтры на узлах или ребрах. Следовательно, в стандартном режиме на верхней панели навигации отображаются только семь параметров.

Рисунок 2.4: Process Explorer — верхняя панель навигации

Параметры макета

Нажав эту кнопку, вы сможете выбирать между автоматическим или ручным макетом модели процесса.

При автоматической компоновке система упорядочивает все узлы и ребра таким образом, чтобы обеспечить максимальную видимость всех чисел и текстов, а также отображать узлы в их хронологическом порядке. В зависимости от того, выбрали ли вы горизонтальную или вертикальную компоновку, порядок узлов будет выровнен либо по горизонтальной, либо по вертикальной оси.

После того, как вы нажали «Ручной макет» в меню «Параметры макета», вы можете выбрать между горизонтальным или вертикальным макетом. В зависимости от вашего выбора система автоматически расположит узлы либо по горизонтальной, либо по вертикальной оси, предоставив вам идеальную начальную позицию для создания собственного макета. После этого ручная компоновка дает вам полную свободу в расположении узлов в вашем Process Explorer. Просто нажмите и перетащите отдельные узлы, чтобы переместить их в нужное место.

Фильтр Vaiant

Нажатие на «Фильтр вариантов» открывает меню «Фильтр вариантов», повторное нажатие закрывает его. Фильтр вариантов позволяет легко активировать и сохранять различные фильтры для вариантов процесса. На рисунке 2.5 вы можете увидеть пример настройки фильтра для всех вариантов, начиная с «Сканировать счет-фактуру». Определите новый фильтр вариантов, нажав маленькую стрелку, указывающую вниз, в верхнем левом углу меню и выберите «Добавить новый фильтр».

Рис. 2.5. Обозреватель процессов — фильтр Vaiant

Чтобы настроить новый фильтр, необходимо выбрать начальную точку, конечную точку или и то, и другое.

Чтобы определить начальные точки для процесса, активируйте вариант начала в и выберите одно или несколько действий из приведенных ниже вариантов. Чтобы определить конечные точки, активируйте вариант окончания в, а также выберите одно или несколько действий из приведенных ниже вариантов. Начальную и конечную точки можно использовать как по отдельности, так и вместе. Например, путем фильтрации всех процессов, начиная с «Сканировать счет» и заканчивая «Оплата», все процессы, первым действием которых было «Сканирование счета» и последним действием «Оплата», будут выбраны и отображены после закрытия фильтра вариантов.

Если вы используете комбинацию начальной и конечной точек, потенциальные действия, которые процесс выполняет между начальной и конечной точками, по умолчанию не будут отображаться. Это означает, что будут отображаться только процессы, которые начались с действия (или действий), определенных как начальная точка, и непосредственно после этого закончились действием (или действиями), определенными как конечная точка. Если вы также хотите показать процессы, которые выполняются через другие действия между начальной и конечной точками, вам необходимо активировать параметр Также включать возможных последователей.

Активировав параметр Исключить совпадающие варианты, вы можете инвертировать примененный фильтр. Это означает, что будут показаны только те варианты процессов, которые не соответствуют выбранным параметрам фильтрации.

Каждый новый фильтр вариантов, который вы настраиваете, будет сохранен и показан в списке параметров в левой части меню фильтра вариантов. Выбрав фильтр и нажав «Активировать фильтр», вы можете решить, использовать его в текущей модели процесса или нет. Это дает вам возможность гибко переключаться между различными фильтрами. Вы можете удалить фильтры, щелкнув значок корзины рядом с ними в списке фильтров.

Варианты отображения

Нажатие на этот параметр приведет к исчезновению списка всех доступных вариантов в левой части обозревателя процессов. Пример этого показан на рис. 2.3, где опция активирована, а список вариантов можно увидеть рядом с моделью процесса. Список вариантов будет объяснен более подробно позже.

Просмотр вариантов просмотра

Нажав «Показать средство просмотра случаев», вы увидите обзор всех случаев, на которых основана модель процесса, в виде таблицы. Щелкнув по нему еще раз, вы вернетесь к обзору модели процесса. После нажатия на одно дело все действия, происходящие в нем, будут перечислены в отдельной таблице под средством просмотра дел. Средство просмотра дел — это удобный инструмент для получения первого впечатления о делах и соответствующих действиях. В режиме редактирования детали средства просмотра случаев можно настроить, как описано здесь. Для более подробного изучения отдельных случаев можно использовать Case Explorer, который будет более подробно описан в следующей главе.

Уменьшить

Как только вы расширите покрытие (подробности о покрытии будут приведены позже), ваша модель процесса будет отображать все больше и больше различных вариантов, узлов процесса и краев процесса. Чтобы просмотреть все задействованные узлы, просто уменьшите масштаб. Модель процесса станет меньше, освободив место для еще большего количества вариантов. Уменьшить (и увеличить) также можно, прокручивая мышь в любом месте Process Explorer.

Увеличить

Нажмите «Увеличить», чтобы рассмотреть определенные участки модели процесса более подробно. Модель процесса станет больше и, следовательно, ее будет легче читать. Увеличение (или уменьшение) также можно выполнить, прокручивая мыши в любом месте Process Explorer.

Сбросить выделение

Этот параметр будет отображаться только в том случае, если вы применили фильтры вариантов или фильтры к узлам или ребрам процесса. При его активации будут удалены все выбранные фильтры, а модель процесса вернется в исходное состояние.

При сохранении модели процесса будет создано изображение Process Explorer в формате png, которое будет сохранено в вашем домашнем каталоге. Вы можете получить доступ к своему домашнему каталогу, щелкнув «Мои файлы» в меню навигации. Эта опция не сохранит ваш анализ в состоянии, которое может быть воспроизведено системой SAP Process Mining by Celonis!

Чтобы сохранить весь анализ в системе SAP Process Mining by Celonis, вам нужно выбрать «Документ», а затем «Сохранить» в самой верхней панели навигации пользовательского интерфейса (если у вас есть соответствующие права пользователя) .

Взаимодействие с моделью процесса

Помимо увеличения и уменьшения масштаба модели процесса с помощью прокрутки с помощью мыши, Process Explorer также позволяет выполнять другие действия, предоставляя вам более полное представление о том, как выполняются ваши процессы.

Информация, предоставленная узлами (нажатием на них)

Некоторую информацию уже можно получить, просто взглянув на узлы процесса. Здесь указано общее количество случаев, проходящих через узел, а также визуальное представление количества случаев, начинающихся или заканчивающихся действием, представленное зелеными и красными полосами, показанными на некоторых узлах. Зеленая полоса обозначает случаи, начинающиеся с действия, красная полоса — обращения, заканчивающиеся им. Чем выше полоса, тем больше обращений было начато или завершено действием.

Дополнительного взаимодействия с моделью процесса можно добиться, щелкнув узлы и используя меню узлов, показанное на рис. 2.6. В дополнение к информации, видимой ранее, здесь дается общее количество случаев, начинающихся или заканчивающихся в узле. Кроме того, в случае, если узлы были скрыты, а дела начинаются или заканчиваются этими скрытыми действиями (дополнительные сведения о сокрытии узлов см. в разделе Показать или скрыть действия), количество случаев, начинающихся со скрытого действия до или заканчивающихся скрытым действием после узла отображаются выбранные.

Рисунок 2.6: Обозреватель процессов — меню узла

Меню узла также дает возможность напрямую применять фильтры вариантов, не переключаясь в меню фильтра вариантов.Все варианты процесса, начинающиеся или заканчивающиеся действием, представленным узлом, можно выбрать, нажав «Начиная здесь» или «Заканчивая здесь». Выбор «Это действие» приведет к отображению всех обращений, в которых это действие включено в качестве одного из шагов их процесса.

Настройки видимости выбранного узла также можно выполнить в меню узла. При нажатии на «Скрыть это действие» действие будет удалено из модели процесса. Скрытые узлы можно снова сделать видимыми, используя параметры, указанные в меню «Показать/скрыть действия», которые будут объяснены позже.

Информация, предоставленная (нажатием) Edges

Границы процесса также предоставляют информацию, просто взглянув на них. В зависимости от выбранного KPI процесса (определение KPI процесса см. в следующем разделе), информация, предоставленная на границе процесса, будет отображать количество обращений, проходящих через него, среднее время цикла или любой другой KPI, который вы могли определить.

Нажав на край процесса, вы можете открыть меню края. Пример можно увидеть на рисунке 2.7. В левой части меню вы можете увидеть количество потенциально скрытых действий, которые могут находиться между предыдущим и следующим действием выбранного вами края процесса. Если есть какие-либо скрытые действия, нажмите «Показать», чтобы они снова появились. С правой стороны вы можете увидеть общую информацию о различных KPI процесса. Для стандартного KPI «Обращения» это будет количество отдельных обращений, проходящих через границу, а также общее количество раз, когда граница процесса проходит. Для стандартного ключевого показателя эффективности «Длительность» это будет общее, среднее, минимальное и максимальное количество времени, которое потребовалось процессам для перехода от предыдущей активности ребра к следующей.

Конечно, вы также можете использовать выбранное ребро в качестве фильтра для вашей модели процесса. При нажатии на «Этот шаг» будут выбраны только те варианты, которые содержат выбранный переход где-то в своем процессе.

Рисунок 2.7: Обозреватель процессов — меню Edge

Выберите KPI процесса

SAP Process Mining от Celonis позволяет настраивать различные ключевые показатели эффективности процессов, которые можно использовать на границах процессов. Конфигурация KPI не может быть выполнена в режиме просмотра. Однако, если щелкнуть раскрывающееся меню в верхнем левом углу Process Explorer, появится список всех доступных KPI процесса. Просто выберите нужный KPI процесса, и он будет применен к краям в модели процесса.

Показать или скрыть действия

Рядом с пунктом «Выбрать KPI процесса» вы найдете еще одно меню для адаптации модели процесса: «Показать/скрыть действия». Открыв его, вы увидите список всех действий, доступных в модели процесса. Будут показаны все выбранные действия, невыбранные будут скрыты от просмотра. Выберите важные действия и скройте те, которые не имеют отношения к вашему текущему анализу, а затем нажмите «Применить», чтобы сохранить изменения.

Покрытие и список вариантов

Покрытие

В нижней части обозревателя процессов вы найдете полосу покрытия, показанную на рис. 2.8, которая позволяет вам изменить покрытие, используемое в вашей модели процесса. При очень низком уровне охвата модель процесса будет отображать только наиболее распространенные варианты процесса. Чем выше охват, тем больше вариантов будет включено в модель процесса.

Рисунок 2.8: Process Explorer — панель покрытия

Информация, указанная в верхней части панели покрытия

В верхней части полосы покрытия вы найдете информацию об общем количестве доступных обращений и о количестве обращений, отображаемых в модели процесса в данный момент. Кроме того, покрытие дается в процентах. Например, 50% охват означает, что в модели будут показаны 50% всех случаев, упорядоченных по общности их вариантов процесса. Покрытие 100% покажет все случаи и, следовательно, все варианты, даже очень необычные. Панель покрытия также предоставляет информацию об общем количестве доступных вариантов и количестве вариантов, отображаемых в модели на данный момент.

Использование контроля покрытия

Вы можете перемещать покрытие вверх и вниз с помощью кнопок управления покрытием ( ) слева и справа от полосы покрытия. Элемент управления покрытием в правой части панели можно использовать для добавления или удаления все более редких вариантов (щелкая стрелку, указывающую вверх или вниз).При использовании контроля покрытия в левой части наиболее распространенные варианты будут удалены из модели, оставлены только необычные.

Окраска полосы покрытия

Окрашивание полосы охвата интуитивно дает информацию о том, сколько случаев можно объяснить с помощью скольких вариантов. В примере, представленном на рис. 2.9, примерно половину имеющихся случаев (53,8%) можно объяснить только двумя вариантами. Чем выше охват, тем меньше случаев можно объяснить единичными вариантами. Это связано с тем, что варианты становятся менее распространенными, а это означает, что они включаются только в нескольких случаях.

Список вариантов

Чем выше охват, тем больше вариантов будет включено в модель процесса. Вот почему SAP Process Mining от Celonis отслеживает все доступные варианты в списке, который по запросу (то есть после нажатия опции «Список вариантов» на верхней панели навигации) может отображаться в левой части Process Explorer.

Рисунок 2.9: Process Explorer — список Vaiant

На рис. 2.9 показан обзор списка вариантов и его функций, таких как выделение и анимация, которые будут объяснены в следующих разделах.

PAFnow — это ведущее программное обеспечение Process Mining, реализованное в Power BI. Находите жемчужины среди кучи данных, определяйте процессы со 100% точностью и корректируйте свои бизнес-процессы.

Что такое Process Mining
и как он работает?

Process Mining – это движение в технологической отрасли, стремящееся сократить разрыв между BPM и BI.
Это 3 основных атрибута Process Mining:

Обнаружение
Определите и проанализируйте свои бизнес-процессы с помощью визуализации ваших данных
Соответствие
Получите основанную на фактах информацию из журналов событий, чтобы точно диагностировать свои бизнес-процессы
Улучшение
Повысьте качество своих решений за счет постоянного мониторинга. Повысьте свою продуктивность с помощью конкретных мер в оперативной повседневной работе.

Анализ процессов 101

Эта электронная книга представляет собой исчерпывающее руководство по интеллектуальному анализу процессов в Power BI. Подходит как для новичков, так и для ветеранов.

PAFnow + Power BI

PAF помещает Process Mining туда, где ему и место — в существующую инфраструктуру бизнес-аналитики и аналитики!

Платформа Microsoft Power, особенно Power BI, позволяет людям добиваться большего с помощью своих данных. Программное обеспечение PAFnow Process Mining дополняет платформу Power Platform искусственным интеллектом процессов. Это дает вам доступ к неиспользованным возможностям для улучшения операционных процессов с помощью имеющихся ресурсов.

Вы владеете своими данными. Вы владеете своими процессами. Вы владеете своими знаниями.

Узнайте, почему другие
любят PAFnow

«Компания Process Analytics Factory создала инструмент, который в контексте цифровой трансформации демонстрирует, как прорывные технологии помогают мгновенно оптимизировать даже классические бизнес-процессы. Интеллектуальный и полностью автоматизированный механизм анализа процессов добавляет новое измерение в эффективность обнаружения критических путей. Первые проекты клиентов показывают, что энтузиазм — это почти преуменьшение. Интеграция PAFnow Process Mining с Power BI и SAP® позволяет быстро реализовать ввод в эксплуатацию без утомительных процессов закупок».

Читайте также: