Подозрение на наличие майнера на компьютере

[DanialRussia]

Здравствуйте. После скачивания с торрент-трекера и установки репака центральный процессор стал сильно нагреваться вплоть до 80 градусов, шумит кулер, поэтому есть основания полагать, что на компьютере вирус. Нагружающих ЦП процессов через диспетчер задач и Process Hacker не видно. Компьютер ощутимо тормозит. Просьба помочь с решением проблемы. Спасибо.

[Info_bot]

Уважаемый(ая) DanialRussia, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Default_Search_URL] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = http://webalta.ru/search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://www.mail.ru/cnt/7227
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [SearchAssistant] = http://webalta.ru/search
O2-32 - HKLM\..\BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3-32 - HKLM\..\Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - C:\Windows\system32\mscoree.dll
O4 - MSConfig\startupreg: Guard.Mail.ru.gui [command] = C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe /gui (file missing) (HKLM) (2013/12/05)
O4 - MSConfig\startupreg: Java Update [command] = C:\Program Files\Java\setup.vbs (HKLM) (2018/02/22)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe  (file missing) (HKCU) (2013/12/05)
O4 - MSConfig\startupreg: RGSC [command] = D:\Games\Grand Theft Auto IV\Rockstar Games Social Club\RGSCLauncher.exe /silent (file missing) (HKCU) (2013/12/05)

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll', '');
 QuarantineFile('C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe', '');
 QuarantineFile('C:\Program Files\Java\setup.vbs', '');
 QuarantineFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe', '');
 QuarantineFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe', '');
 QuarantineFile('C:\ProgramData\Sysconfig\Sysconfig.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe', '');
 QuarantineFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe', '');
 QuarantineFile('C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe', '');
 QuarantineFile('I:\Portable Multi Password Recovery\block_reader.sys', '');
 DeleteFile('C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll', '32');
 DeleteFile('C:\Program Files (x86)\Mail.Ru\Guard\GuardMailRu.exe', '32');
 DeleteFile('C:\Program Files\Java\setup.vbs', '32');
 DeleteFile('C:\ProgramData\Disk Analysis\DiskAnalysis.exe', '32');
 DeleteFile('C:\ProgramData\Firewall Integrity Checker\FirewallIntegrityChecker.exe', '32');
 DeleteFile('C:\ProgramData\Sysconfig\Sysconfig.exe', '32');
 DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Super Fitch x86\SuperFitch_x86.exe', '32');
 DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Default settings protector\dsp.exe', '32');
 DeleteFile('C:\Users\Default\AppData\Local\Microsoft\Windows\Officecompiler\Officecompiler.exe', '32');
 DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Loadmnge32\Loadmnge32.exe', '32');
 DeleteFile('C:\Users\Default\AppData\Roaming\Microsoft\Windows\Microsoap File Manager\MicrosoapFileManager.exe', '32');
 DeleteFile('C:\Users\User\AppData\Local\Mail.Ru\MailRuUpdater.exe', '32');
 DeleteFile('I:\Portable Multi Password Recovery\block_reader.sys', '32');
 DeleteService('block_reader');
 DeleteService('DiskAnalysis');
 DeleteService('dsp');
 DeleteService('FirewallIntegrityChecker');
 DeleteService('Loadmnge32');
 DeleteService('MicrosoapFileManager');
 DeleteService('Officecompiler');
 DeleteService('SuperFitch_x86');
 DeleteService('Sysconfig');
 DeleteFileMask('c:\program files (x86)\common files\microsoft shared\windows live', '*', true);
 DeleteFileMask('c:\program files (x86)\mail.ru', '*', true);
 DeleteFileMask('c:\programdata\disk analysis', '*', true);
 DeleteFileMask('c:\programdata\firewall integrity checker', '*', true);
 DeleteFileMask('c:\programdata\sysconfig', '*', true);
 DeleteFileMask('c:\users\default\appdata\local\microsoft\super fitch x86', '*', true);
 DeleteFileMask('c:\users\default\appdata\local\microsoft\windows\default settings protector', '*', true);
 DeleteFileMask('c:\users\default\appdata\local\microsoft\windows\officecompiler', '*', true);
 DeleteFileMask('c:\users\default\appdata\roaming\microsoft\windows\loadmnge32', '*', true);
 DeleteFileMask('c:\users\default\appdata\roaming\microsoft\windows\microsoap file manager', '*', true);
 DeleteFileMask('c:\users\user\appdata\local\mail.ru', '*', true);
 DeleteDirectory('c:\program files (x86)\common files\microsoft shared\windows live');
 DeleteDirectory('c:\program files (x86)\mail.ru');
 DeleteDirectory('c:\programdata\disk analysis');
 DeleteDirectory('c:\programdata\firewall integrity checker');
 DeleteDirectory('c:\programdata\sysconfig');
 DeleteDirectory('c:\users\default\appdata\local\microsoft\super fitch x86');
 DeleteDirectory('c:\users\default\appdata\local\microsoft\windows\default settings protector');
 DeleteDirectory('c:\users\default\appdata\local\microsoft\windows\officecompiler');
 DeleteDirectory('c:\users\default\appdata\roaming\microsoft\windows\loadmnge32');
 DeleteDirectory('c:\users\default\appdata\roaming\microsoft\windows\microsoap file manager');
 DeleteDirectory('c:\users\user\appdata\local\mail.ru');
 DelBHO('{9030D464-4C02-4ABF-8ECC-5164760863C6}');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Guard.Mail.ru.gui', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Java Update', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MailRuUpdater', 'command');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(2);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).