Дыранули меня, пидоры! / ПК :: вирусы :: пидоры помогите (реактор помоги)

Дыранули меня, пидоры!

Вобщем, доплавался я под пиратским флагом (опять). Словил какой-то ебучий вирус, да такой, что его не видят несколько антивирей. Видюха греется до 86-ти градусов, от чего кулеры пытаются вывести ПК в стратосферу нахуй. Сканировал Zemana, cureIT! и KVRT, мониторил процессы process explorer'ом и aida64 - толку ноль, хоть сколько-нибудь подозрительных процессов нет, а те, что есть - я знал еще до заражения. Возможно вирь шифруется под один из них, хз. Автозапуск тоже пуст. Пробовал смотреть его через ccleaner - всеравно пусто. Вручную лазил в реестр (раздел run) - тоже никаких следов. Это 100% вирус, так как началась эта херня сразу после запуска злосчастного файла. Я ожидал вирус, но не думал, что мой набор прог, выручавший меня всегда, с ним не справится. Даже откат системы не помог.
Посему прошу вашей помощи, любимые пидоры!

Подробнее
КУПОН НА 1 помощь
пидоры помогите,реактор помоги,ПК,вирусы

Еще на тему

пидоры помогите(7700)

Развернуть

Комментарии 11108.10.202017:28ссылка4.2

перебей винду и все, делов то

BaTToN 08.10.202017:29 ответить ссылка 0.1

С форматированием и удалением всех данных)

Sk10 08.10.202017:30 ответить ссылка ↑ 8.7

все важное на флешку с последующей проверкой хорошим триальным антивиром

den_k 08.10.202017:32 ответить ссылка ↑ 1.9

а какой хороший например?

luuke 08.10.202017:33 ответить ссылка ↑ 0.5

Malwarebytes. Лично меня выручал раза три или четыре, причем один раз приходилось чистить пеку не себе.

Квантовый Кот 08.10.202017:35 ответить ссылка ↑ 11.3

Плюс за малаваребайтс.

twilightsparkle 08.10.202017:42 ответить ссылка ↑ 7.9

Поддерживаю, как антивирь не пробовал, а вот как сканер - очень достойный.

ПетрХруничев 09.10.202016:23 ответить ссылка ↑ 0.0

а вот тут я не в курсе, ибо сам ими давно не пользуюсь. Лет 6 назад даже Microsoft Security Essentials, Comodo и AVG, казалось, нормально справлялись со своей работой. ESET вроде неплох, но это по старой памяти

den_k 08.10.202017:39 ответить ссылка ↑ 2.5

BitDefender, если по всяким международным тестам ориентироваться.

ValD 08.10.202018:24 ответить ссылка ↑ 0.8

Эх, нет у меня флешки. А нужных файлов много, тут диск целый нужен.

Charlie_h 08.10.202017:36 ответить ссылка ↑ 1.5

купи облако на месяц, одолжи или приобрети чистый hdd, подключив его через USB как внешний, выкрути из старого ноута, если есть. В конце-концов, можешь форматнуть локальный диск, потихоньку перекидывать на него важные файлы, попутно сканируя

den_k 08.10.202017:46 ответить ссылка ↑ 1.1

Ты наверное думаешь, что вирусы тупые и на внешние диски не лезут?)))

Бурик 08.10.202018:02 ответить ссылка ↑ 1.0

лезут, конечно. Поэтому и предлагаю внешний использовать как флешку, форматнуть зараженный винт и заливать на него уже с полной проверкой

den_k 08.10.202018:06 ответить ссылка ↑ 0.8

загрузиться с флешки с убунтой и скопировать на новый диск всю нужную инфу, потом проверить этот диск

bryams 08.10.202018:09 ответить ссылка ↑ 7.4

Ну что откат не помог это как то совсем печально. Глянь спай хантером, обычно этот хорошо находит.

пoлимер 08.10.202017:31 ответить ссылка 1.4

Файлик у тебя остался? Сильно большой? Закинь на онлайн проверку
virustotal.com

SUPRIMEkair 08.10.202017:33 ответить ссылка 1.0

тоже думал про вирустотал - но файл шибко большой.да.

Charlie_h 08.10.202017:34 ответить ссылка ↑ 1.0

а что ты качал вообще, и откуда?

minxy 08.10.202017:38 ответить ссылка ↑ 1.1

Какую-то инди-игру с совершенно левого сайта.

Charlie_h 08.10.202017:51 ответить ссылка ↑ 0.4

че за игра то? надо заценить

FapTamer 08.10.202019:54 ответить ссылка ↑ 0.6

Симулятор майнера.

Квантовый Кот 08.10.202020:37 ответить ссылка ↑ 8.8

my summer car

Perkele!

Charlie_h 08.10.202020:58 ответить ссылка ↑ 0.4

PANDORUM_666 08.10.202017:33 ответить ссылка 10.2

Если видюха греется, то это майнер. Майнер может встроиться например в ярлыки запуска браузеров. И формально это не вирус. Запусти его на виртуальной машине и отследи изменения. Так ты узнаешь где искать его следы.

Продавец_Кед 08.10.202017:34 ответить ссылка 11.6

Как запустить на виртуальной машине? Я конечно не совсем ламер, но и назвать прошаренным сисадмином меня нельзя.

Charlie_h 08.10.202017:52 ответить ссылка ↑ 1.1

SANDBOXIE
https://www.sandboxie.com
Можно зайти в контейнер песочницы и посмотреть, что создалось/поменялось.

Кроме приложений можно запускать браузер в песочнице - самое оно для подозрительных сайтов.
Меня эта шука в свое время от жесткого шифровальщика спасла.

surferr 08.10.202018:30 ответить ссылка ↑ 0.3

Ставишь Virtualbox или VMware. Делаешь там виртуальный комп. Ставишь винду. Дальше интереснее. Существует утилита SysTracer для отслеживания изменений в системе, осуществляя это сравнением двух «снимков системы» — до и после. В итоге получаем представленные в удобном виде данные по изменениям в трех категориях «Реестр», «Файлы», «Прочие настройки».
Сцылко https://systracer.en.softonic.com/
Ставишь, делаешь снимок, запускаешь троян, отслеживаешь что изменилось.

Продавец_Кед 08.10.202019:52 ответить ссылка ↑ 0.9

Похоже на майнер. Переставляй систему и не парься.

Makis 08.10.202017:34 ответить ссылка 1.5

посмотри в папке temp, может чего появилось подозрительного за последнее время, с отображением скрытых файлов естественно

minxy 08.10.202017:35 ответить ссылка 0.5

в ней папка crashpad, лог хром инсталлера и лог MpCmdRun

Charlie_h 08.10.202017:54 ответить ссылка ↑ 0.1

В другой комп воткни hdd/sdd и на нем прогони тем же cureit или штатным майков. На z-oleg.com есть хорошая утилилита AVZ, но там нужно иметь понятие как и что делать.

wowyok 08.10.202017:36 ответить ссылка 0.9

https://docs.microsoft.com/ru-ru/previous-versions/bb896653(v=msdn.10)?redirectedfrom=MSDN
вот установи и промониторь какой процесс грузит видеокарту, дальше удали то что грузит.

shteyner 08.10.202017:36 ответить ссылка 0.2

Он у меня есть, работает нон-стоп. Дело в том, что он показывает, что GPU занято максимум на 1 процент

Charlie_h 08.10.202017:42 ответить ссылка ↑ 0.1

Тогда дело может быть не в занятости видеокарты. Но ты еще проверь потребляемую мощность https://www.techpowerup.com/download/techpowerup-gpu-z/
Если она будет 50%+ от паспортной на карточке, значит реально есть нагрузка.
Просто там может быть проблема не только с вирусом, но и, скажем, с системой охлаждения и термопастой или еще какая-нибудь хрень, вроде выхода термометра из строя.

shteyner 08.10.202017:51 ответить ссылка ↑ 1.3

Я рукой трогаю видеокарту - она там вся горячая. Видать термометры не врут, что 80-85 градусов.

Charlie_h 08.10.202017:57 ответить ссылка ↑ 0.5

Тогда запусти в безопасном режиме винду и попробуй всё то же самое проделать. Проверь температуру.

shteyner 08.10.202018:01 ответить ссылка ↑ 1.2

"она там вся горячая" )))) ору!

Бурик 08.10.202018:03 ответить ссылка ↑ 0.6

!'£ TechPowerUp GPU-Z 2.34.0

Graphics Card Sensors Advanced Validation Й О =
GPU Clock ▼ Г 979.8 MHz
Memory Dock ▼ I 1502.3 MHz
GPU Temperature ▼ I 84.0 =C
Fan Speed (%) ▼ I 79%
Fan Speed (RPM) ▼ I 2850 RPM
Memory Used ▼ I 201 MB
GPU Load ▼ I 1 %
Memory Controller Load ▼ I 0%

Charlie_h 08.10.202018:02 ответить ссылка ↑ 0.6

Нагрузки толком нет, а температура дохрена. Видюшка обслуживалась хоть раз?

Elferon 08.10.202018:14 ответить ссылка ↑ 0.7

Нет не обслуживалась. Я тоже думал, что поэтому. Но началась эта хрень с разгоном СРАЗУ после запуска того файла, и не прекращалась до сих пор со вчерашнего дня. Слишком удачное совпадение как по мне, особенно если учесть, что ее температура в состоянии покоя редко превышала 38 градусов.

Charlie_h 08.10.202018:19 ответить ссылка ↑ 0.6

Всякие совпадения бывают, такое не исключается. Если не с кем сделать обмен видюхами для проверки, то все же разобрать бы, почистить, поменять термопасту для начала. Гарантия на нее уже точно закончилась, лишним не будет.

Elferon 08.10.202018:31 ответить ссылка ↑ 0.6

Запустить в безопасном режиме, посмотреть какие изменения, загрузится с лайвсиди Линукс какой нить например, оттуда можно же и проверить.

Lirrian 08.10.202018:59 ответить ссылка ↑ 0.0

GPU Load - 1%

itjustme 08.10.202018:16 ответить ссылка ↑ 0.5

Это хорошо или плохо?

Charlie_h 08.10.202018:20 ответить ссылка ↑ 0.5

это значит, что вроде как не делает ничего

itjustme 08.10.202018:29 ответить ссылка ↑ 0.8

Загрузка видеопроцессора - 1%
Загрузка видеопамяти - 201Мб
А она греется. Проверь железо.

10111 08.10.202018:30 ответить ссылка ↑ 1.2

Ты случайно системник не задевал? Нагрузки нет, а температура есть, может радиатор с видюхи съехал?

qtig 08.10.202018:18 ответить ссылка ↑ 0.6

Вроде все на месте, даже особо не запылилось ничего.

Charlie_h 08.10.202018:25 ответить ссылка ↑ 0.0

Очень похоже на проблемы с системой охлаждения т.к. такая температура при такой мощности у карты быть не может. Если это вирус, то это что-то супер новое и не известное, потому что эти данные подделать вирусу не получится. Хотя потребление мощности завышено для простоя.

shteyner 08.10.202018:34 ответить ссылка ↑ 0.6

Нлянь автозагрузку с помощью утилиты autoruns.

Jharvest 08.10.202017:36 ответить ссылка 0.4

Даже в диспетчере задач в производительности не отследить что грузит карту?

Generous_BNA 08.10.202017:37 ответить ссылка 0.1

Диспетчер это самое примитивное, чем можно смотреть. Любой уважающий себя майнер скрывается от него, а то и вовсе приглушает нагрузку, при попытке открыть любое средство мониторинга.

SUPRIMEkair 08.10.202017:42 ответить ссылка ↑ 2.1

А как это сделать? Я хз куда там смотреть. Монитор ресурсов показывает лютую активность в окне "диск".

Charlie_h 08.10.202017:47 ответить ссылка ↑ 0.3

Раз показывает активность - должен показывать и грузящий процесс. От него и пляши.

MAXInator 08.10.202018:47 ответить ссылка ↑ 0.9

Я у себя майнер отследил через process hacker, он не смог отследить нагрузку на ГПУ или ЦП, но прекрасно отобразил все входящие и исходящие соединения. А там уже разбирался, что куда пытается пролезть, нашёл левые адреса, и их уже через реестр вылавливал и связывал с конкретными путями, приложениями и процессами.

SUPRIMEkair 08.10.202017:40 ответить ссылка 2.5

Что-то мне подсказывает, что он тоже не увидит, ибо я чекал похожими - aida64 и processexplorer.

Charlie_h 08.10.202018:04 ответить ссылка ↑ 0.0

Upd. Таки не видит, да.

Charlie_h 08.10.202018:22 ответить ссылка ↑ 0.0

Так а на что смотришь?

SUPRIMEkair 08.10.202018:24 ответить ссылка ↑ 0.0

...Потребляемую память?

Charlie_h 08.10.202019:06 ответить ссылка ↑ 0.0

А я в начале ветки написал про соединения. От майнинга нет толку, если к тебе не летят инструкции, и ты не отправляешь результатов вычислений. Так что надо бы глянуть, не лезет ли кто в сеть, без твоего ведома.

SUPRIMEkair 08.10.202020:36 ответить ссылка ↑ 0.0

Ы. Вот это вы профан :D
Чтоб на уровень ядра винды пролезть, нужно пздц постараться :D

А линукс ваш - гавно для повседневной работы :D

gorzo1 08.10.202017:46 ответить ссылка ↑ -1.5

Достаточно нажать ОК когда винда попросит права администратора или установить неподписанный драйвер.

Polzavotel 08.10.202017:49 ответить ссылка ↑ -1.7

Ну вообще объяснение с работой на уровне ядра это самое внятное. И никаких сложностей тут нет, тут блять даже игры некоторые делают с античитами на уровне ядра.

psys 08.10.202019:18 ответить ссылка ↑ 2.1

Чисто ради интереса, а если AnVir-ом помониторить?
Сам под ним сижу лет 6 без антивирей, всегда выручал отследить бяку.

WanNoa 08.10.202017:51 ответить ссылка 0.0

Да 100% встроился в системный процесс. Откат через виндовые средства или делал нормальный бэкап Acronis или подобным?

Загрузись с любого лайв св и посмотри гудит или нет, если нет то переставляй винду и не парься.
Если из под лайв св гудит то пзц.

Asmyshlyaev177 08.10.202017:51 ответить ссылка 0.9

Откат через винду, да.

Что такое лайв св?

Charlie_h 08.10.202017:55 ответить ссылка ↑ 0.1

Live CD (англ. «живой» компакт-диск, произносится лайв си-ди́) — операционная система, загружающаяся со сменного носителя (CD, DVD, USB-накопитель и т. д.), не требующая для своего функционирования установки на жёсткий диск.

VIUR 08.10.202018:02 ответить ссылка ↑ 0.2

Live cd - диск/флешка с которой можно загрузить ОС не трогая жёсткий диск.

У доктора веба(авторы cureit) должно быть. Часть вирей никак не удаляются из под запущенной винды.

Asmyshlyaev177 08.10.202018:04 ответить ссылка ↑ 0.8

https://free.drweb.ru/livedisk/how_it_works?lng=ru

Asmyshlyaev177 08.10.202018:07 ответить ссылка ↑ 0.1

попробуй посканить в безопасном режиме,или авастом при запуске системы ну и малваиром поищи, нсли не найдешь то откат или перестановка

skylark 08.10.202018:04 ответить ссылка 0.0

Вот так уот:

$:ile Options View Process Find Users Help A 0 | Э I® □ I! | Ef * M © 3rocess CPU Private Bytes Working Set PID Description Company- Name Virus Total El H System 0.03 456 К 18 016 К 4 ■j) System Idle Process 99.46 OK 24 К 0 \T! MsMpEng.exe 0.05 182 920 К 196 856 К 548 Antimalware Service$

Charlie_h 08.10.202018:09 ответить ссылка 0.2

Скинь свой контакнт в дискорде, могу через Anydesk глянуть что у тебя, сам ловил подобное, легко находил среди приложений в планировщике заданий винды.

NikSharp 08.10.202018:09 ответить ссылка 0.9

В планировщике заданий пусто, да и слишком параноик я, чтобы через энидеск доступ давать, сорян.

Charlie_h 08.10.202018:15 ответить ссылка ↑ -2.3

И это говорит человек, который зная что запускает вирус, запустил его без каких либо мер безопасности.
"Я трахаю спидозную шлюху, зная что она спидозная. Но меня пронесет. Всегда же проносило".
О, хосподи.

Aarc 08.10.202018:21 ответить ссылка ↑ 6.0

Я исчерпал свой градус смелости энивей :D

Charlie_h 08.10.202018:23 ответить ссылка ↑ -0.5

Да и это же не значит, что можно пренебрегать этим впредь, верно?

Charlie_h 08.10.202018:24 ответить ссылка ↑ 0.8

Да нормас, сам параноик, даже шаурмы купить не могу в популярном заведении рядом с домом :D

NikSharp 08.10.202018:21 ответить ссылка ↑ 0.0

avz+processExplorer+processMonitor

aleot 08.10.202018:30 ответить ссылка 0.3

Ща отвалюсь ненадолго - отрублю интернет и прогоню malwarebytes

Charlie_h 08.10.202018:32 ответить ссылка 0.0

Эх не помню подробностей, но своего майнера выловил сэкьюрисканом кашперовского, тоже засел где-то в системных файлах и удаляться отказывался. Было правда лет пять назад еще на 7ке, может с тех пор умнее эту заразу сделали.

Rushvez 08.10.202018:57 ответить ссылка 0.0

Вот, самое подозрительное, что пока нашел:

$*£ Piriform CCleaner - Professional Edition CCleaner Professional v5.41.6446 (64-bit) Windows 7 64-bit SP1 Intel Core ¡7-4770 CPU @ 3.40GHz, 8,0GB RAM, NVIDIA GeForce GTX 760 4 Очистка Реестр \ Сервис Ф Настройки Автозагрузка Дополнения браузеров Анализ дисков Поиск дублей$

Charlie_h 08.10.202018:58 ответить ссылка 0.1

(часы спешат на час ссук)

Charlie_h 08.10.202018:59 ответить ссылка ↑ 0.0

Была такая хуйня, только с процом, все перепробовал, кроме сноса винды естественно, внезапно помог Secury 360 бесплатная версия, лол.

kokoko1707 08.10.202019:12 ответить ссылка 0.0

Накатил ...это. Что-то он нашел конечно, даже снести попытался - но тщетно. И всю систему засрал не хуже яндекс-браузера всякими мини-поисковиками и организаторами рабочего стола. Пиздец.

Хорошо хоть удалился подчистую.

Charlie_h 08.10.202019:48 ответить ссылка ↑ 0.3

А каспером не пробовал (Resque disk, с него загружаться)?

lexasan 08.10.202020:07 ответить ссылка ↑ 0.0

Не, не пробовал. Да и не шарю я в этих внешних дисках и безопасных режимах.

Charlie_h 08.10.202020:10 ответить ссылка ↑ 0.0

Есть бесплатная версия каспера на оф. сайте, она ничуть не хуже для банального лечения от гадостей

lexasan 08.10.202020:13 ответить ссылка ↑ 0.0

Щас бы во время установки не снимать галочки...

kokoko1707 08.10.202020:43 ответить ссылка ↑ 0.0

Не реклама, самого спасало несколько раз: https://www.kaspersky.ru/downloads/thank-you/free-rescue-disk . Качай режь на болванку(или USB), грузись с него, если найдет твою сетевуху (должен, основан вроде на CentOs), то предварительно обнови базы. Жду конструктивной критики многоуважаемых пидоров... хотя кого я нахуй обманываю - тонн говна:)))

Deicide 08.10.202019:22 ответить ссылка 0.4

Я наверное скажу банальное, но ты пробовал прогонять одноразовыми антивирусами от Dr web и Касперского?

Kestrel 08.10.202019:37 ответить ссылка 0.9

Эх, с них и начинал. Спасибо за совет, энивей. Походу тут два варианта: особо лютый майнер, который не видят проги или и вправду дохлая видяха. Видимо пора покупать термопасту и переустанавливать винду.

пидоры помогите,реактор помоги,ПК,вирусы

Charlie_h 08.10.202019:46 ответить ссылка ↑ 0.3

Меня терзают смутные сомнения... В Хроме нажал shift+esc и в субфреймах нашел странную запись. После ее отключения нагрузка на видяху упала а ее температура упала до 55 градусов (норма для нее была всегда 38-45 градусов), что видно по показаниям gpu-z. Обычно когда я захожу в хром - она разгоняется и греется.
Из этого я делаю вывод, что таки это майнер, и майнер хитрожопый. В данный момент он в спящем режиме - как если бы я не запускал хром. Однако его выдает температура видеокарты в 55 градусов. Думается мне, что он возобновит свою деятельность, стоит мне перезайти в хром. Где искать его - не представляю - его нет среди расширений.

Charlie_h 08.10.202020:18 ответить ссылка 0.3

Покежь скрин той хуйни, также пробуй запустить хром не через ярлык а напрямую экзешником, если все равно полезет - значит в реестре прописалось, проверь другие браузеры, будет ли в них такая хуйня.

Продавец_Кед 08.10.202021:09 ответить ссылка ↑ 0.0

Теперь она не показывается. Может я и ошибся кстати - на ее месте теперь ссылка на Youtube (хоть я его и не открывал). Огнелис себя ведет тихо кстати. По ходу рили с хрома запускается. Только запустил AVZ - вот что с первых секунд вылезло:

Функция ntdll.dll:NtMakeTemporaryObject (345) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetSystemTime (533) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwMakeTemporaryObject (1595) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetSystemTime (1783) перехвачена, метод CodeHijack (метод не определен)

Charlie_h 08.10.202021:29 ответить ссылка ↑ 0.0

Загрузись в безопасном режиме и снеси хром, потом пользуйся ff, если антивирус есть. ntdll.dll не трогай, а то точно переустановить винду проще будет.
З.Ы. Что за система и антивирь стоит?

wowyok 08.10.202023:14 ответить ссылка ↑ 0.0

Седьмой винт профессиональный, антивирь базовый плюс туева хуча всяких KVRT, Zemana, Malwarebytes и тому подобных.

Charlie_h 09.10.202000:29 ответить ссылка ↑ 0.0

Все не читал, поэтому могу дать неверный совет
у тебя 10 или 7ка? Я на 7ку недавно EternalBlue словил.
При выключенном инете файловым менеджером (Far) проверь папки Fonts и Cursors в папке с виндой. Если это оно, то там будет скрытый системный экзешник с фейковым названием типа svchosts или что-то типа того.

th3cat 08.10.202020:23 ответить ссылка 0.0

Семерка у меня. Ща чекну.

Charlie_h 08.10.202020:32 ответить ссылка ↑ 0.0

Я это дело отследил прибив дрова на видюху, после чого в event viewer сразу после перезагрузки посмотрел ошибки. Там и нашел где эта тварь скрывалась.

Fireball14 08.10.202020:37 ответить ссылка 0.0

Adwcleaner запусти разок, ради пакости. Он рекламные вирусы находит правда (не по твоей теме), но мало ли. Эта прога у меня на компе нашла и вычистила то, что Dr.Web и Каспер не нашли.

Night_Strider08.10.202020:38ответить ссылка 0.0

пробовал, не помогло

Charlie_h 08.10.202020:53 ответить ссылка ↑ 0.0

Это пиздец

File Options View Process Find Users Help
I Of* *1 ft ®
У
□
Process CPU Private Bytes Working Set
0 F] System 0.07 152 К 2 020 К
■3 System Idle Process 98.31 OK 24 К
[i3 MsMpEng.exe 0.06 216 484 К 216856 К
lildllhost.exe 3 548 К 8 180 К
0 0 chrome.exe 0.01 114 816 К 166 464 К
Ç

Charlie_h 08.10.202020:56 ответить ссылка 0.0

В данный момент прогоняю AVZ. Вот что выпало с первых секунд скана:

Функция ntdll.dll:NtMakeTemporaryObject (345) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:NtSetSystemTime (533) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwMakeTemporaryObject (1595) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetSystemTime (1783) перехвачена, метод CodeHijack (метод не определен)

Charlie_h 08.10.202021:32 ответить ссылка ↑ 0.0

Вот он пидор, грит что зловредов нет, при том сам же их увидел.

Charlie_h 08.10.202021:57 ответить ссылка ↑ 0.0

О, брат по несчастью, сегодня словил точно такой же вирус и так же из за скачивания Игорь с непроверенных сайтов. Полностью найти все хвосты этого говна не удалось, но всё же сам майнер удалил (что не отменяет переустановку винды в скором времени). Но в моём случае вирус умудрялся ещё и сам закрывать программы мониторинга и/или прятаться при их запуске.
Диспетчер задач и AnVir Task Manager он закрывал после запуска, не давая ничего посмотреть, через process explorer удалось найти подозрительный процесс, который лежал в папке c:\programData\название подозрительной папки. В этой же папке programdata насоздавалась куча папок якобы от антивирусов, которые получилось удалить только через безопасный режим с правкой разрешений безопасности для каждой левой папки. Так же проверь файл hosts у меня там оказалось прописана ерунда, не дающая зайти на сайты большинства антивирусников. Причём в hosts всё прописывалось через батник, лежащий рядом с майнером. Так что попробуй поиском по системе найти батник от сегодняшнего дня, возможно остальное где то рядом.
Да и вообще, большинство подобных зловредов лежит в папках programdata или appdata

dok2033 08.10.202022:31 ответить ссылка 0.6

О, спасибо. Сейчас чекну.

И вновь начинается бой...

Charlie_h 08.10.202023:12 ответить ссылка ↑ 0.1

нажимаешь перезагрузка и держишь shift.
Должно предложить Safe Mode.

Самое интересное, что ты уже нашел ГДЕ сидит зараза. С-Клинер показал!
Но от неё не избавишься так просто.
переустановка системы - однозначно.

Недавно на Хабре (вроде) была разжевана статья о подобных вирусах. Всё ОЧЕНЬ сложно.
он скачивается, запускается, лезет на кучу сайтов и скачивает части и кусочки, после чего компилируется и запускается. Что бы обойти антивирусы.

Но как только ты открываешь диспетчер задач, он себя убивает в процессах. Но, за то (вроде как) виден в мониторе ресурсов.
Твой, похоже, как ты и сам понял, прилип к Хрому.

зайди в планировщик задач и грохни все задачи связанные с Хромом.

Можно ещё в регистрах поискать, с какими ключами запускается Хром. И удалить записи. Исправить.

Но - я б переставил систему.
Если есть люди готовые помочь - прими помощь!

zhekaice 08.10.202023:43 ответить ссылка ↑ 0.7

Яре яре...

О Эти программы запускаются при старте Windows
Дополнения
браузеров
Анализ дисков
Поиск дублей
Восстановление
системы
Стирание дисков
Windows
Запланированные задачи
Контекстное меню
Вкпю
Включено Раздел Программа Издатель Пользователь Файл
Да Нет HKCU:Run HKCU:Run DAEMON Tools Lite

Charlie_h 09.10.202000:35 ответить ссылка ↑ 0.1

Ну да, еще подтверждение, что хрень у тебя - —no-startup-window явная маскировка, может и прошлых твоих пираток.

wowyok 09.10.202002:53 ответить ссылка ↑ 0.1

ПРОдолжай.

Ищи файлы с расширением .com (либо .exe). Ищи в папке темп на системном диске и в папке пользователя.
В скрытых папках C:\Users\%userfolder%\AppData

zhekaice 10.10.202023:06 ответить ссылка ↑ 0.0

Только зарегистрированные и активированные пользователи могут добавлять комментарии.

Похожие темы