В TCP/IP процесса "svchost.exe -k netsvcs" прописался coin-hive и грузит процессор
Здравствуйте.
Через 5-10 минут после включения компьютера процесс "svchost.exe -k netsvcs" начинает грузить процессор на 50%.
В свойствах процесса, во вкладке TCP/IP видно, что там прописался coin-hive — вредонос, позволяющий дистанционно майнить криптовалюту монеро.
Прикладываю скриншот: Screenshot_1.jpg
Почитал про этот вирус на форуме, посвященном монеро. Люди, которые им пользуются, пишут, что можно четко установить загрузку процессора жертвы в процентах, и на этой загрузке будет происходить дистанционный майнинг.
У меня так и получается: почти все время процесс использует ровно 50% CPU.
Что с ним делать, не знаю, поэтому прошу помочь.
Из антивирусов использую лицензионный NOD32, он никаких вирусов не нашел.
Возможно буде полезна следующая информация: ноутбук старый, на нем использовалась лицензионная Vista SP1. Загрузка процессора началась вскоре после обновления до SP2 и установки нескольких патчей (всё взято с оф.сайта майкрософт). Не очень понятно, связано ли это, либо просто угораздило поймать coin-hive где-то в браузере сразу после обновления системы.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Hedgehog, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Вчера исследовал логику процессов. Когда я не совершаю никаких действий в системе (только включаю ноутбук, запускаю Process Explorer и подключаю-отключаю кабель к LAN), варианты получаются такие: 1) Включение ноутбука при подключенном кабеле интернета
Система загружается, после загрузки всех служб и антивируса проблемный процесс svchost.exe начинает набирать оперативную память.
В норме обычно он забирает 12..25 Мб. А здесь за пару минут набирает больше 1 Гб, при этом грузит CPU в пределах 5-10%.
Затем в один момент оперативная память уходит в диапазон 500...800 Мб, а загрузка этим процессом CPU резко становится 50%.
При этом процесс перестает реагировать на изменения во внешних условиях. Если вытащить кабель из LAN, перейти в режим сна и обратно — ничего не меняется. При выключении ноутбук завершает работу раза в 2 дольше, кулер на повышенных оборотах гудит до момента полного выключения. 2) Включение компьютера при отключенном кабеле интернета
Система грузится нормально, svchost.exe тоже в норме. Работает всё хорошо, за несколько часов никаких аномалий. 3) Включение компьютера при отключенном кабеле интернета, затем кабель присоединяем
Тоже всё нормально, скрытый майнер не запускается.
Если в последнем варианте я затем запускаю браузеры (у меня стоят Firefox (по умолчанию), Chrome и Opera), майнер активизируется, но не сразу, и не всегда, и логику активизации я до конца не выяснил. При открытой Opera точно ни разу не включался.
Вот сейчас, к примеру, всё было ок, но пока писал это сообщение (в Firefox) майнер снова запустился.
Насчет того, как вирус проник в ноутбук, нашел такую информацию в новости трехдневной давности:
"По словам независимого эксперта по кибербезопасности Троя Марша, в последнее время майнеры начали активно встраивать код в рекламные объявления на YouTube через платформу DoubleClick от Google. Как отмечает эксперт, рекламные объявления от платформы DoubleClick содержат код, написанный на JavaScript, который позволяет создателям объявлений майнить криптовалюту Monero посредством сервиса Coinhive.".
У меня в AdBlock как раз стояли некоторые исключения по сайтам, и в том числе в Firefox был разрешен показ рекламы на Youtube. Возможно пролезло оттуда.
Прикладываю логи, делал их при работающем майнере.
Последний раз редактировалось Hedgehog; 31.01.2018 в 23:02.
При работе в других браузерах проблема наблюдается?
На данный момент уже выяснил, что в варианте «запуск системы с отключенным кабелем, затем подключение кабеля и запуск браузера» майнер через время активизируется вне зависимости от того, какой именно браузер запущен, и что там открыто.
Нашел, что майнер прописался в C:\Windows\system32\Drivers\etc\hosts в виде «0.0.0.0 coin-hive(точка)com». Стоит самому удалять эту строку?
Судя по всему, проблема все-таки была в обновлении до Vista SP2.
Процессор перестал грузиться только после сноса всех обновлений.
А coin-hive, получается, меня просто сбил с толку.
Хотя от него отписаться тоже явно не повредило.
thyrex, спасибо за уделенное время, и в целом всей вашей команде за такой важный ресурс.
Поддержал проект.
Последний раз редактировалось Hedgehog; 01.02.2018 в 23:55.
Ответить с цитированием
и сохраните на Рабочем столе.
Сообщение от thyrex
