вредоносный сайт https://rg-mechanics.org , скрытая установка и запуск майнера на моем ноутбуке

1
RSS
Добрый день
Посоветовали обратится к вам

Здравствуйте. Недавно начала замечать подлагивание работы ноута. После визуального осмотра процессов был замечен svchost.exe.exe, который стабильно "ел" 45-50% мощности процессора. Живет эта гадость в закрытой папке Microsoft, которую удалось расковырять и даже удалить сам заклятый svchost.exe.exe. Но после ребута системы все снова вернулось на свои места. Прошу помощи в борьбе с этой гидрой.

Вот лог сканирования утилитой HijackThis
Код
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Zaxar Games Browser.lnk - C:\Program Files (x86)\Zaxar\ZaxarLoader.exe /verysilent (2017/07/30) (file missing)O4 - MSConfig\startupreg: [GameCenterMailRu] (no file)  (HKCU) (2017/07/30)
O4 - MSConfig\startupreg: [MailRuUpdater] (no file)  (HKCU) (2017/07/30)
O4 - MSConfig\startupreg: [amigo] (no file)  (HKCU) (2017/09/08)
O4 - MSConfig\startupreg: [gxshlmrxax] C:\Windows\explorer.exe "http://yabrecher.ru/?utm_source=uoua03&utm_content=591dc289831cf9a8eb8f31244d26db5d&...; (HKCU) (2017/07/31)
O4 - MSConfig\startupreg: [lidnkghmpmbmkjalooojbaefceoolghb] (no file)  (HKCU) (2017/08/12)
O4 - MSConfig\startupreg: [setupsk] (no file)  (HKCU) (2017/07/31)
O4 - MSConfig\startupreg: [setupsk_upd] (no file)  (HKCU) (2017/08/14)
O4 - MSConfig\startupreg: [ubidugbnjv] C:\Windows\explorer.exe "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&u...; (HKCU) (2017/08/14)
O4 - MSConfig\startupreg: [xivihsjxbo] C:\Windows\explorer.exe "http://gacraw.ru/?utm_source=uoua03&utm_content=bebcbcefdf7465f11565718ba452044c&utm...; (HKCU) (2017/07/30)
O4 - MSConfig\startupreg: [ycAutoLaunch_29136A8B22622C55B08230F521C13279] (no file)  (HKCU) (2017/07/30)
O17 - HKLM\System\CSS\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 81.171.10.42
O17 - HKLM\System\CSS\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 82.202.226.203
O17 - HKLM\System\CSS\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet001\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet001\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet001\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 94.130.44.229
O17 - HKLM\System\ControlSet002\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 81.171.10.42
O17 - HKLM\System\ControlSet002\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\. .\{D944F75A-98C0-46BB-BBFF-C3FC4FCAB096}: NameServer = 94.130.44.229
O22 - Task (Ready): SpyHunter4Startup - C:\Program Files\SpyHunter\SpyHunter4.exe (file missing)

Вредоносный торрент был скачать с этого сайта https://rg-mechanics.org/games/download/1203-06/gta_5_grand_theft_auto_v_2015_pc_repack_ot_r_g_mekha...

Спасибо! с ув. Алиса !
denided.png (3.68 КБ)
svchost.exe.exe.png (45.73 КБ)
Изменено: Алиса Зайцева - 14.12.2017 01:32:52 (pic)
Здравствуйте
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
* Всю необходимую информацию мы запросим сами - пожалуйста не публикуйте лишних данных.
1
Читают тему (гостей: 1)