Возможно подцепил майнер

Printable View

19.04.2015, 21:12
rickproza

Вложений: 2

Возможно подцепил майнер

Здравствуйте. С недавних пор стал замечать процесс svchost, занимающий примерно 100 мегабайт памяти и через некоторое время разрастающийся до двухсот. После его завершения через диспетчер задач через некоторое время появляется снова. В играх через 10-15 минут после старта снижается фпс. Если отключить интернет соедниение и закрыть процесс - фпс снижаться перестает(но сам процесс появляется снова). Cureit не нашел ничего. Сам процесс, похоже, маскировался под хром. В автозагрузку прописывался как GoogleChromeAutolaunch_(куча букв и цифр), запускался с параметром -no_startup_window. Сам гугл хром не был установлен. После удаления этих файлов в автозагрузке его больше не вижу, но проблему с svchost это не решило. Переустановку Windows он успешно пережил, запрет автозапуска с жесткого диска и проверку MBAM(который, к его чести, таки нашел файлы, теперь вирус-майнер шифровался под другой браузер, который тоже не был установлен, но удаление особого результата не дало - разъевшийся svchost по прежнему висит в процессах и при запуске системы пытался стать еще больше - 700 мегабайт) тоже. Буду очень признателен за помощь!
19.04.2015, 21:13
Info_bot

Уважаемый(ая) [B]rickproza[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
20.04.2015, 09:05
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
DeleteService('lohyfizy');
DeleteService('fejoloky');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_2879FDBA52B35D1A724E9F73F28A52B0', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinCheck', 'command');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\{238DDF8-FDD7-E0C4-C777-4654279DEAFD}', 'command');
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

[B]Обновите базы AVZ[/B] ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.
20.04.2015, 11:35
rickproza

Вложений: 1

Обновил базы и добавил новый syscheck. На данный момент процесс svchost который ранее увеличивался до 800 мегабайт имеет размер 17 мбайт и не увеличивается. процесс svchost размером в 100 мегабайт остался. При отключении от сети какой-то процесс пытается подключиться к разным ip перебирая порты(смотрю через netstat). Несколько ip из списка: 216.58.211.10:https, 148.251.151.141:http, 23.21.61.67:http, 173.194.116.136:http
20.04.2015, 11:57
Vvvyg

Плохого не видно. Обновите систему, возможно, поможет.
20.04.2015, 11:58
rickproza

[QUOTE=Vvvyg;1262424]Плохого не видно. Обновите систему, возможно, поможет.[/QUOTE]

Хорошо, спасибо за помощь.