Возможно подцепил майнер

**rickproza** · 19.04.2015, 21:12

Здравствуйте. С недавних пор стал замечать процесс svchost, занимающий примерно 100 мегабайт памяти и через некоторое время разрастающийся до двухсот. После его завершения через диспетчер задач через некоторое время появляется снова. В играх через 10-15 минут после старта снижается фпс. Если отключить интернет соедниение и закрыть процесс - фпс снижаться перестает(но сам процесс появляется снова). Cureit не нашел ничего. Сам процесс, похоже, маскировался под хром. В автозагрузку прописывался как GoogleChromeAutolaunch_(куча букв и цифр), запускался с параметром -no_startup_window. Сам гугл хром не был установлен. После удаления этих файлов в автозагрузке его больше не вижу, но проблему с svchost это не решило. Переустановку Windows он успешно пережил, запрет автозапуска с жесткого диска и проверку MBAM(который, к его чести, таки нашел файлы, теперь вирус-майнер шифровался под другой браузер, который тоже не был установлен, но удаление особого результата не дало - разъевшийся svchost по прежнему висит в процессах и при запуске системы пытался стать еще больше - 700 мегабайт) тоже. Буду очень признателен за помощь!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.04.2015, 21:13

Уважаемый(ая) rickproza, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 20.04.2015, 09:05

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 DeleteService('lohyfizy');
 DeleteService('fejoloky');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_2879FDBA52B35D1A724E9F73F28A52B0', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{238DDF8-FDD7-E0C4-C777-4654279DEAFD}', 'command');
RebootWindows(true);
end.

Компьютер перезагрузится.

Обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

**rickproza** · 20.04.2015, 11:35

Обновил базы и добавил новый syscheck. На данный момент процесс svchost который ранее увеличивался до 800 мегабайт имеет размер 17 мбайт и не увеличивается. процесс svchost размером в 100 мегабайт остался. При отключении от сети какой-то процесс пытается подключиться к разным ip перебирая порты(смотрю через netstat). Несколько ip из списка: 216.58.211.10:https, 148.251.151.141:http, 23.21.61.67:http, 173.194.116.136:http

**Vvvyg** · 20.04.2015, 11:57

Плохого не видно. Обновите систему, возможно, поможет.

**rickproza** · 20.04.2015, 11:58

Сообщение от Vvvyg

Плохого не видно. Обновите систему, возможно, поможет.

Хорошо, спасибо за помощь.

Возможно подцепил майнер (заявка № 182166)

Опции темы

Возможно подцепил майнер

Похожие темы

Пожалуйста помогите, поймал вирус, возможно Майнер

Видеокарта постоянно в нагрузке, жутко тормозит ОС, возможно вирус-майнер [not-a-virus:RiskTool.Win32.BitCoinMiner.lkl ]

возможно вирус. на ноуте не возможно ничего сделать..

возможно вируса подцепил

Подцепил вирус, возможно с однокласников

Метки для этой темы

Ваши права в разделе