Майнер + обращение браузера к непонятному ресурсу.

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

Майнер + обращение браузера к непонятному ресурсу.

Здравствуйте, я один из многих, кто где-то подхватил недуг с майнингом и фишкой при его отключении диспетчером задач. К тому же заметил, что браузер подключается к непонятному ресурсу http://xn------ и т.д. набор букв, вылезает даже табличка сверху по центру, где нужно вводить логин и пароль к этому ресурсу. Буду премного благодарен за помощь!

Здравствуйте!

Цитата:

Цитата PrinceTulip

браузер подключается к непонятному ресурсу »

Какой именно браузер?

1.
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);

 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);

RebootWindows(false);

end.

Компьютер перезагрузится.

2.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ. (Находится в папке ...\Autologger\AVZ)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

3.
Далее:

Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Гугл Хром последней версии. VirusInfo загрузил на сайт, AdwCleaner лог прикрепляю.
До этого сообщения я прошёлся по компьютеру бесплатным Касперским и Dr. Web CureIt. Первый нашёл что-то в папке расширений у браузера и удалил. Потом один раз заблокировал подключение к тому же "xn---". После сканирования компьютер протормозил до открытия диспетчера только один раз, далее он стал работать плавно, но в простое всё равно удавалось заметить 70-80% загрузки ЦП.

Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
В меню Настройки включите дополнительно в разделе Базовые действия:
- Сбросить политики IE
- Сбросить политики Chrome
В меню Панель управления нажмите Сканировать.
По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Цитата:

Цитата Sandor

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
Прикрепите отчет к своему следующему сообщению.
(Обратите внимание - C и S - это разные буквы). »

Это тоже, пожалуйста.

Далее:

Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start:: CreateRestorePoint: GroupPolicy\User: Restriction ? <==== ATTENTION Task: {A4595A08-F32C-4E18-8ED2-37639BF573B9} - \Administrator -> No File <==== ATTENTION FF user.js: detected! => C:\Users\Администратор\AppData\Roaming\K-Meleon\80o6v1g6.default\user.js [2006-04-06] FF Extension: (No Name) - D:\kmelonn\browser\extensions\{899DF1F8-2F43-4394-8315-37F6744E6319}.xpi [not found] CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811036","hxxp://mypoisk.su/","hxxps://www.google.com/" EmptyTemp: Reboot: End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Извиняюсь, позабыл на минутку. Иду выполнять код.

Что из проблем сейчас осталось?

После того, как выложил фикслог, увидел те же тормоза на несколько секунд. Пока никаких сайтов xn---- не вылезает. Процессор по-прежнему нагружается в простое.

При открытии Диспетчера задач нагрузка на процессор подскакивает и тут же падает. Верно?
Если да, то это нормальное поведение. ДЗ - тоже программа, для запуска которой нужны ресурсы процессора.

Тоже думал об этом, но откуда возникают тормоза тогда именно до открытия ДЗ? У меня Атлон, трёхядерный обрубок, и включение ДЗ может забирать 80% его ресурсов?
В простое кулер работает на средних-высоких оборотах, а конкретно после включения ДЗ обороты падают.

Хорошо, возможно, я начал параноить, прочитав симптомы майнера у других пользователей, что окна, курсор тормозят и т.д. Из-за чего ещё это может быть? Из недавнего софта устанавливал f.lux для более тёплой картинки на мониторе

Загрузите систему в безопасном режиме и понаблюдайте. Будет ли подобное?

Посидел в безопасном режиме: на рабочем столе, потом с браузером включённым. Никаких проблем не было замечено, но это при том, что подключения к интернету не было там.

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.

Если обнаружите виновника, сообщите, пожалуйста.

Из служб отключил Windscribe VPN и O&O Defrag, дефрагментатор, который в логе SecurityCheck был отмечен, как нежелательный. В автозапуске оставил тот же f.lux, CPU Control и драйверы для наушников, мыши и видеокарты. Так как тормоза стали какими-то редкими после всех манипуляций, буду дальше наблюдать за поведением системы. Если что-то обнаружу, сообщу. Спасибо Вам за помощь!

Хорошо. В завершение:

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Читайте Рекомендации после лечения.

Здравствуйте. Перепробовал отключение всех служб, не помогло. Всё это время у меня была проблема с охлаждением: кулер видеокарты начал шуметь + вся термопаста не менялась несколько лет. Сменил пасту; как мог, смазал неразборный вентилятор (он всё ещё шумит, но не клинит). Сейчас тормоза не наблюдаются второй день. Возможно, проблема была в этом, но я контролировал температуру через HardwareMonitor раньше, безумных показателей не замечал. В общем, спасибо за оказанную помощь! Не знаю, стоит ли помечать тему решённой. Думаю, со временем решу окончательно.