Завирусованный ноут, в процессах обнаружен майнер.

**ThomasLP** · 13.02.2017, 10:42

Добрый день!
Друг принес ноут, с жалобой сильно греется. Прогнал cureitом. Нашел в процессах биткоин майнеры, и удалил их.
Также после загрузки на рабочий стол выходит сообщение "Конфигурация вашего оборудования изменена. Требуется перезагрузка системы"
Друзья просьба посмотреть осталось ли что в системе.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.02.2017, 10:43

Уважаемый(ая) ThomasLP, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Сомнение** · 14.02.2017, 11:25

Здравствуйте!

Вам необходимо:

1. Выполнить следующий скрипт в AVZ:

Код:

begin
 StopService('clr_optimization_v1.03');
 QuarantineFile('C:\Users\4CFA~1\AppData\Local\Temp\gkernel.sys','');
 QuarantineFile('C:\Users\Роман\AppData\Roaming\System\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\1F430F76C.sys','');
 DeleteFile('C:\Users\Роман\AppData\Roaming\System\svchost.exe','32');
 DeleteService('gkernel');
 DeleteService('clr_optimization_v1.03');
 ExecuteSysClean;
 ExecuteWizard('TSW', 3, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
 RebootWindows(true);
end.

Компьютер будет перезагружен.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху данной темы.

2. Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**ThomasLP** · 15.02.2017, 05:34

Файл карантина приложен.

**Сомнение** · 15.02.2017, 15:41

1. Unity Web Player - желательно удалить.

2.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
Task: {317A0246-3036-4167-94E2-71A58C04624D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {46107F85-19F0-46A3-A271-E7BEBBB27C07} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {5AF0B26A-A2FD-40BE-ADE2-FE7249458FF6} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION
Task: {617A6274-0DE8-4839-AA0F-5B266FFC7773} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> No File <==== ATTENTION
Task: {644A816B-CBF3-4772-BC82-4551012CD8F5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {7625A3FB-1B98-491F-BEFC-A36B1D9D9077} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {7FEF8DD6-4B66-4EE8-A944-19518AB9707F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {9FE4FBA9-7709-426F-AFDC-5FE55BFA5B0D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {B48F7DD0-8CF1-4F8E-8E53-88E92D03AB5D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B8FE1C55-9765-4E31-BD71-3A240AB2E66E} - \Обновление Браузера Яндекс  -> No File <==== ATTENTION
Task: {CB4A21B3-1FEC-4D81-B574-29BC495CFE23} - \Microsoft\Windows\Setup\gwx\rundetector -> No File <==== ATTENTION
Task: {D3AD0F94-5D76-40FB-9395-1324866516E0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {D589EEEF-1A73-4557-9088-A5401DF97798} - \McAfee\McAfee Idle Detection Task -> No File <==== ATTENTION
Task: {D8AC0DF7-B5C1-458B-836F-E9D69895D90D} - \WPD\SqmUpload_S-1-5-21-1245630808-3006198956-2002144732-1002 -> No File <==== ATTENTION
Task: {DE01AC98-FA13-418D-9BA0-84E403557277} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {EE649412-440C-40A2-9F09-5A977E7CA2E1} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {F1C18649-72F3-422A-BEE4-0743A275D03B} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> No File <==== ATTENTION
Task: {FAB82876-E833-475C-ADB1-C0C032ACD586} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {FF4F6C60-7785-48F8-9B07-D306ED734BCE} - \Системное обновление Браузера Яндекс  -> No File <==== ATTENTION
2016-04-29 10:03 - 2014-08-31 16:34 - 00294912 _____ () C:\Users\Роман\AppData\Roaming\nssm.exe
GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
CHR Extension: (Пульт) - C:\Users\Роман\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmpoaahleccaibbhfjfimigepmfmmbbk [2016-10-18]
CHR HKU\S-1-5-21-1245630808-3006198956-2002144732-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1245630808-3006198956-2002144732-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1245630808-3006198956-2002144732-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-1245630808-3006198956-2002144732-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jdfonankhfnhihdcpaagpabbaoclnjfp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
U2 clr_optimization_v1.02; C:\Users\Роман\AppData\Roaming\nssm.exe [294912 2014-08-31] () [File not signed]
2016-09-16 15:52 - 2016-09-16 15:52 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
2017-02-14 11:45 - 2017-02-14 13:09 - 0065536 _____ (Windows (R) Server 2003 DDK provider) C:\Users\Роман\AppData\Local\Temp\ddu.exe
2016-12-16 23:02 - 2016-12-16 23:04 - 50251184 _____ () C:\Users\Роман\AppData\Local\Temp\360_1481900570540.exe
EmptyTemp:
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

3. 150.208.1.3 - знакомые Вам настройки DNS ?

4. Кучу расширений от Mail.ru и Yandex для Chrome и Firefox ставили сами ?

Код:

FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Роман\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-01-02]
FF Extension: (Поиск@Mail.Ru) - C:\Users\Роман\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-01-02]
FF Extension: (Советник Яндекс.Маркета) - C:\Users\Роман\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-10-18]
FF Extension: (Visual Bookmarks) - C:\Users\Роман\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-10-18]
FF Extension: (&Yandex Elements&) - C:\Users\Роман\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2016-10-18]
FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\Роман\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-02]

Если не нужны, то удалите.

**CyberHelper** · 15.02.2017, 15:51

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 2
В ходе лечения вредоносные программы в карантинах не обнаружены

Завирусованный ноут, в процессах обнаружен майнер. (заявка № 209311)

Опции темы