Подозрение на скрытый майнер

**zjnt** · 26.07.2017, 17:52

Последнее время на больших оборотах начал работать кулер центрального процессора, начал подозревать что у меня на компьютере майнер, начал искать странные\неизвестные процессы, ничего подозрительно не нашел, но заметил что при запуске диспетчера задач, загрузка ЦП растет до ~40%, а потом снижается до 0% - 4% и закрывается пара процессов. Из этого подозрение что майнер маскируется и реагирует на открытие диспетчера задач. И так как я совершенно не знаю как искать эту заразу, обращаюсь к Вам.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.07.2017, 17:53

Уважаемый(ая) zjnt, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 28.07.2017, 13:25

Сделайте лог полного сканирования МВАМ

**zjnt** · 28.07.2017, 17:15

Сделал.

**thyrex** · 28.07.2017, 23:13

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

**zjnt** · 29.07.2017, 11:09

Готово.

**thyrex** · 30.07.2017, 09:01

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

Код:

CreateRestorePoint:
CHR Extension: (Adblock Plus) - C:\Users\Paul\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2017-07-12]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage] - hxxps://clients2.google.com/service/update2/crx
2017-07-27 11:02 - 2017-07-27 11:02 - 00000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign901619cea8224e87
2017-07-27 11:02 - 2017-07-27 11:02 - 00000000 ____D C:\Users\Paul\AppData\Local\Tempzxpsign7588a0a6ba525a93
C:\Program Files\Adblock Plus for IE
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> No File
Reboot:

2. Нажмите Файл – Сохранить как
3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool
4. Укажите Тип файла – Все файлы (*.*)
5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить
6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание, что будет выполнена перезагрузка компьютера.

**zjnt** · 30.07.2017, 11:03

Сделал.

**zjnt** · 30.07.2017, 11:39

И если Вам не сложно, можете, пожалуйста, объяснить зачем нужно было фиксить Adblock Plus, для обоих браузеров, ведь я их сам ставил, это вряд ли вирус; две пустые адобовские папки Tempzxpsign, и интеловский графический драйвер igfxcui.

**thyrex** · 01.08.2017, 00:07

Что с проблемой?

**zjnt** · 01.08.2017, 20:34

Сообщение от thyrex

Что с проблемой?

Вроде стало лучше, скачков загрузки ЦП не наблюдается, но можете все таки ответить

Сообщение от zjnt

Зачем нужно было фиксить Adblock Plus, для обоих браузеров, ведь я их сам ставил, это вряд ли вирус; две пустые адобовские папки Tempzxpsign, и интеловский графический драйвер igfxcui.

**thyrex** · 02.08.2017, 08:30

Сообщение от zjnt

зачем нужно было фиксить Adblock Plus, для обоих браузеров, ведь я их сам ставил

Я вот не уверен в том, что все беды не из-за него.

Сообщение от zjnt

две пустые адобовские папки Tempzxpsign, и интеловский графический драйвер igfxcui

Вам мусорные записи нужны были?

**zjnt** · 02.08.2017, 10:51

Хорошо, что делать дальше?

**thyrex** · 02.08.2017, 23:16

Больше в логах ничего плохого

**zjnt** · 03.08.2017, 09:40

НУ тогда, тему можно закрывать, но перед этим, можете сказать как вытащить AdBlock из карантина, чтобы нормально его удалить, и как полностью удалить программы, что использовались в ходе проверки (AutoLogger, MBAM, Farbar Recovery Scan Tool).

**zjnt** · 04.08.2017, 17:40

Ап.

**thyrex** · 05.08.2017, 07:57

МВАМ удалите через Установку программ. Остальные утилиты можно просто удалить.

И на будущее: вместо того, чтобы плодить темы, которые все-равно попадают на модерацию, можно написать ЛС.

Подозрение на скрытый майнер (заявка № 214158)

Опции темы