svhost майнер-вирус?
Нaблюдается такая вот ситуация
В процессах висит некий процесс "C:\TEMP\svchost.exe" -o http://bugivugi_xz66:[email protected]:80 -t 0 -x socks=127.0.0.1:9457 который плавно в течении минут 10-15 наращивает нагрузку на ГП до 100%. Явно видно что кто-то что-то майнит. Убивание процесса и удаление не приносит никакого результата - после ребута они снова появляются на том же месте и снова начинается процесс.
Гугление сводится к сканированию всякими антивирусами, которые ничего не находят.
WTF?
Последний раз редактировалось ShUmMy; 22.03.2013 в 14:40.
Re: svhost майнер-вирус?
1. AVZ пробовал?
Re: svhost майнер-вирус?
igorfiv, естественно.
Самое интересное что исходя из [Только для зарегистрированных пользователей. Зарегистрироваться.] - должен быть батник сапускающий эту фигню, но автозагрузка девственно чиста
[Только для зарегистрированных пользователей. Зарегистрироваться.][Только для зарегистрированных пользователей. Зарегистрироваться.]
[Только для зарегистрированных пользователей. Зарегистрироваться.]
[Только для зарегистрированных пользователей. Зарегистрироваться.]
Re: svhost майнер-вирус?
В разделе реестра ....\Winlogon - ничего подозрительного?Сообщение от ShUmMy
Re: svhost майнер-вирус?
А также .... \Policies\Explorer ?
Re: svhost майнер-вирус?
Запустил Autoruns. Просмотрел все что может быть подозрительное с обязательным сканированием всех интересных объектов нод32. Результата - ноль.
Поотключал все что как по мне не является критическим. И оно сработало
[Только для зарегистрированных пользователей. Зарегистрироваться.][Только для зарегистрированных пользователей. Зарегистрироваться.]
[Только для зарегистрированных пользователей. Зарегистрироваться.]
[Только для зарегистрированных пользователей. Зарегистрироваться.]
Re: svhost майнер-вирус?
ты хоть отпиши людям какой имеено процесс в автозапуске был.
Re: svhost майнер-вирус?
ShUmMy, [Только для зарегистрированных пользователей. Зарегистрироваться.] ознакомьтесь. Там есть подробное описание, как сделать полный лог загрузки. Там же пример отслеживания действия трояна. Думаю вам пригодится.
Торренты спасают нас от шлака киноиндустрии...
Core i7-2600K@4500Ghz, ASUS P8Z68-V Pro, 2xHynix 9-10-9-24 1333Mhz@1866Mhz, Geforce GTX280.
Re: svhost майнер-вирус?
DAntES, комп ушел как есть. С уведомлением клиента обо всех деталях. Из-за срочного наступления дубля второго зимних каникул. Школоте заняться нечем - воют на стены, просят комп срочно.
igorfiv, отключил winmail, пару странных dll-лок, все ярлыки указывающие на отсутствующие файлы. Все что мне казалось со странными именами и непонятным расположением объектов. Сделал листинг в Autoruns - но он неудобоваримочитаемый.
Особо под подозрение попал некий VBS скрипт из папки сис32. Просканировал его всем чем мог. Просмотрел содержимое - но там более 200 строк, весьма общий, без каких-то упоминаний файлов и путей которые грузили ГПУ. но тоже отключил. Вобщем мистика. Было бы больше времени на исследования - можно было бы поиграться.
А вообще люди где-то аж через неделю начали раздражаться тормозами рабочего стола. А тормозило прилично. Причем хитро - не сразу после загрузки системы а постепенно набирая обороты в течении 10-15 минут (на графике загрузки ГПУ четко видно было)
[Только для зарегистрированных пользователей. Зарегистрироваться.][Только для зарегистрированных пользователей. Зарегистрироваться.]
[Только для зарегистрированных пользователей. Зарегистрироваться.]
[Только для зарегистрированных пользователей. Зарегистрироваться.]
Re: svhost майнер-вирус?
ShUmMy, Dr.Web LiveCD пробовали?
Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)
Ваши права
Ответить с цитированием