안녕하세요
VMWare에 Winserver 2003를 올려 예전부터 사용중인데
며칠전부터 wmlprvser.exe 라는 프로세스가 올라와 cpu가 100%차면서 안에 설치되어있는 솔루션을 사용못하고있습니다 ㅠ
구글링해본 결과 wmlprvse.exe라는 프로세스 이슈는 나오는데
wmlprvser.exe는 없어서 혹시 아시는 분 있으신지 여쭤봅니다 ㅠㅠ
파일 경로는 C:\Windows\hep에 있으며 해당 .exe파일을 리네임도해보고 삭제해도 다시 생성되고 올라오네요...
혹시나 바이러스나 랜섬웨어가 아닐까 걱정되어 큰일이네요..
조언부탁드립니다..
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
9개의 답변이 있습니다.
2003이면 설치된 백신 업데이트도 안되겠네요..
문제의 파일을 바이러스토탈(virustotal.com)에 올려서 검사 해보세요.
아마 채굴관련된 것으로 나올거에요..
삭제해도 다시 생기는 것은 다른 프로세스가 감시하고 있다가 다시 실행시는 경우거나
스케쥴러로 돌리고 있을겁니다.
해당 프로세스 및 부모 프로세스까지 강제 종료하시고요.
파일은 삭제하시거나 압축해서 따로 보관하시고...
네트워크는 꼭 필요한 포트만 개방하고 모두 차단하세요.
보통 인바운드만 차단하는데 이 놈들은 아웃바운드를 차단해야 합니다.
방화벽이 있으면 로그 검사해서 외국에서 접근하는 ip 있으면 차단하시는 것도 좋습니다.
윈도우에서도 netstat로 접속하는 ip 확인하시고 차단하세요.
그리고 계속 모니터링을 하시야 합니다.
cpu 100%는 보통 채굴이고
파일들이 안 열리는 것은 랜섬일 가능성이 높습니다.
window 2003이라면...
20년쯤 된 윈도 서버내요..
Window XP 출시되고 Window Vista가 출시되기 전에 중간 쯤에 나온 윈도 서버가 되겠고...
Window XP, Window 7, window 2008 등을 확인해 봤는데...
wmlprvser.exe라는 실행 파일은 존재하지 않고요.
MS에서 사용하는 실행 파일 이름과 유사하다는 자체에서 부터 많은 의심이 가는 소프트웨어이네요.
악성 코드가 맞을 가능성이 90% 이상된다고 보여 집니다.
그리고, c:\windows\help 폴더는 도움말 파일이 있는 곳이기 때문에 실행 파일이 있는 폴더가 아니고요.
XP에는 c:\windows\help 폴더에 다양한 도움말 파일과 DLL 파일이 있긴해도... 확장자가 EXE인 실행파일은 있지 않고...
c:\windows\help가 아닌 c:\windows\hep 폴더라면 윈도에 기본적으로 존재하는 폴더도 아니고...
help 폴더와 유사하게 보이게 하기 위해 만든 눈속임 폴더로 보이고요.
혼동을 주는 눈속임 폴더에, 눈속임 실행 파일을 만들어두고서 작동하게 만들었다면...
99% 악성 코드일거라 판단하면 틀리지 않을겁니다.
정상적인 소프트웨어들은 저런 식으로 혼동이 가는 이름을 사용하지 않습니다.
안전모드로 부팅해서... 필요하다면 레지스트리를 건드려서라도 부팅시 실행되지 못하게 차단하고, 완전히 제거시켜야 할 것 같네요.
2003 처럼 아주 오래된 OS를 신규 OS로 업그레이드 하기 어려운 상황이라면 disk2vhd 같은 P2V 툴을 이용해서 가상 컴퓨터로 전환해서, 컴퓨터 자체를 백업 받아 두고 가상 컴퓨터로 운영하는 것이 좋습니다.
오래된 OS를 새로운 하드웨어에 다시 설치하는 것도 어려운 문제이다 보니...
상당히 오래된 하드웨어를 사용함으로 인한 안정성에도 심각한 문제점이 있을 걸로 보이고요.
가상 컴퓨터로 전환해서 새로운 하드웨어에 구동한다면 오래된 하드웨어에서 직접 구동될때 보다도 더 성능 좋게 작동될거라 보여지고요.
오래된 OS는 서버용 하드웨어가 아니라도 요즘 PC 급 컴퓨터에다 가상 컴퓨터로 올려서 사용해도 오래된 하드웨어에서 직접 구동하는 것보다 더 좋은 성능이 나올 수 있을거라 보여지네요.
WmiPrvSE.exe는 C:\Windows\System32\wbem 에 있네요.
C:\Windows\hep 폴더에는 서브 폴더만 있고, 실행 파일이 있지 않는게 정상인것 같고요.
악의적인 목적으로 MS에서 사용되는 기본 시스템 소프트웨어와 동일한 이름으로 집어 넣어진 악성 코드일 걸로 보여 지네요.
윈도 안전 모드로 부팅해서 제거하는게 좋을 것 같습니다.
이전 상태로 복구 시도해서 해당 문제가 없었던 시점으로 복구해 보는것도 방법이 될 수 있을 것 같고요.
정 안된다면 윈도 시스템 초기화를 하거나 포멧하고 다시 설치하는게 맞겠네요.
wansoo | 약 2년 전
윈도 기본 시스템 소프트웨어와 유사한 이름으로 해서, 사용자를 속이는 악성 코드로 보이네요.
랜섬웨어였다면 벌써 암호화가 진행되지 않았을까 싶어 보이고...
아마도 랜섬웨어 보다는 스파이웨어나, 가상화폐 채굴 같은 시스템 자원을 몰래 사용하는 악성 코드일 가능성이 높지 않을까 싶어 보이네요.
https://infoacetech.net/ko/windows/wmi提供程序主機高cpu使用率/
여러 내용을 찾아 보았지만 위 내용의 순서대로 진행해보세요
채굴같은 느낌적인 느낌입니다.
저도 검색을 해봐도 나오지가 않네요....
많이 걱정 되실듯 ㅜㅜ
혹시라도 랜섬위에의 가능성도 있으니, 여러가지 조치를 빨리 하시는게 좋을 듯 하네요.
■데이터 백업 (데이터 일부로 감염 가능성이 있으나 그래도 안하는 것 보다는 해 두는게 좋겠네요)
■랜섬웨어 검색 솔루션을 이용한 검색
■가능하면 네트워크 차단 (동일 네트워크 내에 다른 서버 감염 방지)
■저장되어 있는 파일 공유 금지
빨리 해결 되길 바라겠습니다.
혹시라도 도움이 될지 모르지만 아래 사이트도 참고 해보세요
https://docs.microsoft.com/ko-kr/troubleshoot/windows-server/system-management-components/high-cpu-usage-wmiprvse-process-regular-intervals
https://kruizerg.tistory.com/entry/WmiPrvSEexe-%ED%94%84%EB%A1%9C%EC%84%B8%EC%8A%A4Process
해당 프로세스에 대한 블로그를 참조 해 보시길
https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=hi_billy&logNo=221304289281
우선 특정 프로세스가 CPU 100% 상태를 유지한다면
멀웨어, 바이러스로 인해 발생할 수 있으므로 가장 먼저 네트워크 연결을
해제한 상태에서 체크 하시길 추천드립니다.
그리고 체크해볼 항목은
1. 바이러스/멀웨어 검사 수행
> 네트워크 분리한 상태에서 백신 프로그램을 통해 바이러스 검사
2. wmlprvser.exe의 서비스 다시 시작
> 서비스(services.msc)에서 Windows Management Instrument를 찾으셔서 다시시작 해보시고
CPU 상태를 체크해보세요.
3. 이벤트 뷰어 로그 체크
> 이벤트 뷰어 > 응용 프로그램 및 서비스 로그 > Microsoft > Windows > WMI-Activity > Operational의
순서로 경로 이동하여 로그를 보셔서 오류가 발생한 이벤트를 확인하여 아래 일반탭에서
ClientProcessid 확인해서 작업관리자에서 ClientProcessid에 해당되는 프로세스 체크 해보세요.
중지시키거나 필요시 제거하셔서 CPU 상태 모니터링
위 방법을 차례대로 수행해보세요.
Windows2003 너무 낮은 버전이네요.
장기적으로 OS를 상위 버전으로 업그레이드 하시는게 마음이 편하실겁니다.
항상 보안에 조마조마할 수 있어요 ^^~