Google Chrome нагружает и нагревает видеокарту ( подозрение на Bitcon miner )

**sinbiont666** · 14.07.2014, 12:24

При пользовании браузером Google Chrome видеокарта стала сильно греться, при пользовании IE такого нет. Process Explorer не выявил процесс нагружающий видеокарту. Проведена проверка в безопасном режиме утилитами Dr.Web CureIt и AVPTool. Dr.Web обнаружил вирусы типа Btc........., после их удаления и переустановки браузера проблема не исчезла.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.07.2014, 12:25

Уважаемый(ая) sinbiont666, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**mike 1** · 14.07.2014, 12:43

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
  then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 ClearQuarantine;
 QuarantineFile('C:\Windows\Adobe Flash Player\Adobe.exe','');
 DeleteFile('C:\Windows\Adobe Flash Player\Adobe.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Flash Player SU','command');                       
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы

Важно! на Windows Vista/7/8 запускайте HiJackThis через контекстное меню проводника от имени Администратора. Пофиксите следующие строчки в HiJackThis если они у вас есть.

Код:

O2 - BHO: (no name) - AutorunsDisabled - (no file)
O3 - Toolbar: (no name) - {09900DE8-1DCA-443F-9243-26FF581438AF} - (no file)

Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве как подготовить лог UVS

**sinbiont666** · 14.07.2014, 13:17

Выполнил.

**mike 1** · 14.07.2014, 13:28

Больше плохого не видно.

**sinbiont666** · 14.07.2014, 13:36

Видеокарта продолжает нагреваться. В простое всего лишь с пустой вкладкой 70-72 градуса. Показания Everest. Тип датчика ГП Driver (NV-DRV). В простое с открытой вкладкой в IE температура 40-45 градусов. Уточню, что первый раз Доктор Веб обнаружил вирусы типа Btc в папке с именем, что-то типа Java.

**regist** · 14.07.2014, 13:40

Сделайте сброс настроек Хрома и ещё раз проверьте проблему.

**sinbiont666** · 14.07.2014, 13:48

Сброс настроек браузера не дал результатов. Проблема осталась, текущая температура 70 градусов.

**regist** · 14.07.2014, 13:51

Расширение в браузере есть? Если есть отключите. Не поможет попробуйте переустановить с удалением профиля.

**mike 1** · 14.07.2014, 13:51

Сделайте лог полного сканирования MBAM

**sinbiont666** · 14.07.2014, 18:45

Расширений не было, переустановка не помогла, сейчас сделаю лог сканирования MBAM.

- - - Добавлено - - -

В правилах написано не переименовывать файл, но поле было пустым и я сохранил с именем Log.

- - - Добавлено - - -

В правилах написано не переименовывать файл, но поле было пустым и я сохранил с именем Log.

**mike 1** · 14.07.2014, 20:47

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Quarantine" ("Карантин" - смотрите, что удаляете).

Код:

Ключи реестра: 5
PUP.Optional.DealPly.A, HKLM\SOFTWARE\DealPly, , [a0df980580fb1a1c0ae05b6a4db5a55b], 
PUP.Optional.DealPly.A, HKU\S-1-5-21-1154801912-1183302428-3581921739-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DEALPLY, , [5926b0ede8937abc716d1eda4eb5b050], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1154801912-1183302428-3581921739-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE\1I1T1Q1S, , [d0afabf22d4ef5415024b62b6d959b65], 
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1154801912-1183302428-3581921739-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, , [f788930a720945f14734a453e91aaf51], 
PUP.Optional.Softonic.A, HKU\S-1-5-21-1154801912-1183302428-3581921739-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SOFTONIC\Universal Downloader, , [f7887a23b0cb290d165d696727dbe41c], 

Значения реестра: 2
PUP.Optional.DealPly.A, HKU\S-1-5-21-1154801912-1183302428-3581921739-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\DEALPLY|Partner, iron, , [5926b0ede8937abc716d1eda4eb5b050]
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1154801912-1183302428-3581921739-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE|tb, 0M1S1H1K2U, , [f788930a720945f14734a453e91aaf51]

Папки: 8
PUP.Optional.DealPly.A, C:\Program Files\DealPly, , [6718930a7902da5cdac67d775fa415eb], 
PUP.OPtional.Dealply.A, C:\Users\????N????»?»\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly, , [38474e4fe893d660993683732fd4f20e], 
PUP.Optional.DealPly.A, C:\Users\????N????»?»\AppData\Roaming\Dealply, , [f887435a067569cdd791c3db04fe3dc3], 
PUP.Optional.DealPly.A, C:\Users\????N????»?»\AppData\Roaming\Dealply\UpdateProc, , [f887435a067569cdd791c3db04fe3dc3], 

Файлы: 22
PUP.Optional.Dealply, C:\Program Files\DealPly\DealPlyUpdateRun.exe, , [eb945f3eff7c9f970c53b60dfa0a31cf], 
PUP.Optional.DealPly.A, C:\Program Files\DealPly\DealPly.crx, , [6718930a7902da5cdac67d775fa415eb], 
PUP.Optional.DealPly.A, C:\Program Files\DealPly\DealPly.xpi, , [6718930a7902da5cdac67d775fa415eb], 
PUP.Optional.DealPly.A, C:\Program Files\DealPly\DealPlyIE64.dll, , [6718930a7902da5cdac67d775fa415eb], 
PUP.Optional.DealPly.A, C:\Program Files\DealPly\icon.ico, , [6718930a7902da5cdac67d775fa415eb], 
PUP.OPtional.Dealply.A, C:\Users\????N????»?»\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\Uninstall DealPly.lnk, , [38474e4fe893d660993683732fd4f20e], 
PUP.OPtional.Dealply.A, C:\Users\????N????»?»\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly Help.url, , [38474e4fe893d660993683732fd4f20e], 
PUP.OPtional.Dealply.A, C:\Users\????N????»?»\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DealPly\DealPly.url, , [38474e4fe893d660993683732fd4f20e], 
PUP.Optional.DealPly.A, C:\Users\????N????»?»\AppData\Roaming\Dealply\UpdateProc\config.dat, , [f887435a067569cdd791c3db04fe3dc3], 
PUP.Optional.DealPly.A, C:\Users\????N????»?»\AppData\Roaming\Dealply\UpdateProc\TTL.DAT, , [f887435a067569cdd791c3db04fe3dc3], 
PUP.Optional.ASK.A, C:\Users\????N????»?»\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: (      "startup_urls": [ "http://www.google.ru/", "http://www.search.ask.com/?tpid=CLM-SP&o=APN10930&pf=V7&trgb=CR&p2=,[a9d6336ac2b958deaa0f3698ea1a58a8]EB1E,[a9d6336ac2b958deaa0f3698ea1a58a8]EYYYYYY,[a9d6336ac2b958deaa0f3698ea1a58a8]EYY,[a9d6336ac2b958deaa0f3698ea1a58a8]ERU&gct=hp&apn_ptnrs=,[a9d6336ac2b958deaa0f3698ea1a58a8]EB1E&apn_dtid=,[a9d6336ac2b958deaa0f3698ea1a58a8]EYYYYYY,[a9d6336ac2b958deaa0f3698ea1a58a8]EYY,[a9d6336ac2b958deaa0f3698ea1a58a8]ERU&apn_dbr=cr_35.0.1916.153&apn_uid=A8D02B81-F52D-4838-AD03-A458FA474DE5&itbv=12.15.0.22&doi=2014-06-22&psv=&pt=tb" ],), ,[a9d6336ac2b958deaa0f3698ea1a58a8]

Если MPK кейлоггер сами себе не устанавливали удалите еще эти записи:

Код:

Папки: 8
Refog.Keylogger, C:\ProgramData\MPK, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\4, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\CPDA, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\CPDM, , [1f604e4f0d6eb086367e325d19e908f8], 

Файлы: 22
Spyware.Keylogger, C:\Windows\System32\MPKView.exe, , [f58a613cf08beb4bec394a019d64b749], 
Refog.Keylogger, C:\ProgramData\MPK\key.bin, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\M0000, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\S0000, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\4\D0000, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\4\S0000, , [1f604e4f0d6eb086367e325d19e908f8], 
Refog.Keylogger, C:\ProgramData\MPK\CPDM\cpfm.bin, , [1f604e4f0d6eb086367e325d19e908f8],

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

**sinbiont666** · 15.07.2014, 13:46

Удаление в MBAM ни к чему не привело, новый лог прикрепил.

- - - Добавлено - - -

Дорогие хэлперы, проблема решена, решилась она добавлением к ярлыку в пути такой команды --disable-gpu --disable-software-rasterizer, теперь хром вроде не использует GPU, но странно, что доктор веб нашел вирусы биткоин майнинга, и были все симптомы заражения. Только остается вопрос, что именно делал хром с GPU, что грел ее на +20-30 градусов.

**mike 1** · 15.07.2014, 14:18

Эту запись в MBAM еще удалите:

Код:

Файлы:
PUP.Optional.ASK.A, C:\Users\????N????»?»\AppData\Local\Google\Chrome\User Data\Default\Preferences, Good: (), Bad: (      "startup_urls": [ "http://www.google.ru/", "http://www.search.ask.com/?tpid=CLM-SP&o=APN10930&pf=V7&trgb=CR&p2=,[96deabf4adcec1758a0af4dc22e2649c]EB1E,[96deabf4adcec1758a0af4dc22e2649c]EYYYYYY,[96deabf4adcec1758a0af4dc22e2649c]EYY,[96deabf4adcec1758a0af4dc22e2649c]ERU&gct=hp&apn_ptnrs=,[96deabf4adcec1758a0af4dc22e2649c]EB1E&apn_dtid=,[96deabf4adcec1758a0af4dc22e2649c]EYYYYYY,[96deabf4adcec1758a0af4dc22e2649c]EYY,[96deabf4adcec1758a0af4dc22e2649c]ERU&apn_dbr=cr_35.0.1916.153&apn_uid=A8D02B81-F52D-4838-AD03-A458FA474DE5&itbv=12.15.0.22&doi=2014-06-22&psv=&pt=tb" ],), ,[96deabf4adcec1758a0af4dc22e2649c]

В остальном порядок.

**sinbiont666** · 15.07.2014, 14:31

Думаю проблема устранена, тему можно закрывать. Спасибо за помощь)

**regist** · 15.07.2014, 15:47

MBAM деинсталируйте

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Советы и рекомендации после лечения компьютера

**CyberHelper** · 15.07.2014, 15:57

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Google Chrome нагружает и нагревает видеокарту ( подозрение на Bitcon miner ) (заявка № 163098)

Опции темы