Майнеры-хуяйнеры, вирусы-хуирусы
Недельку назад взял свою шлюшью флешку, думал быстренько вставлю и вытащу, приключение на пару минут, но я словил какую-то редчайшую венеру.Нужна помощь с очисткой моей святой пекарни.
Ресурсы пропадают, системник греется и пыхтит, даже в Проводнике ФПС падает, но диспетчер не фиксирует никаких прожорливых процессов.
В ходе долгого расследования, с помощью processhacker, удалось выявить ряд виновников:
CrimsonWood.exe
Wup.exe
Kplnixo.exe
windefender.exe в /Windows/ (без цифровой подписи)
CloudNet.exe
csrss.exe
SheduleUpdate.exe
И ещё несколько с рандомнейм
Вычистил всю эту дрянь.
Отчистил реестр от всего, что с ними связано, значениями, путями и т.п. Прошерстил всю системную директорию на наличие их собратьев. Некоторых удалось вскрыть и определить, где живут их родственники.
Удалось выяснить, что они пытаются коннектить на:
monopeets com
protoblues com
weekdanys com
okonewacon com
blackempirebuild com
(Все адреса поместил в hosts)
Проверялся и у Dr.Web, и у Каспера, даже MalwareBytes ставил, все говорят, что у меня всё ок (даже до ручной очистки). Вот только при включении какой-нибудь игрули, чувствуются проседания кадров, даже по завершению ресурсоемких процессов. Что-то продолжает грызть, но уже более аккуратно и в меру, скрываясь за более сложными процессами.
Единственные следы, которые видны (помимо падения производительности), это сетевая активность некоторых приложений, которые лезут на monopeets com. Я уже даже переустановил батл.нет и браузер, зараза всё ещё сидит и дублирует процессы переадресовывая их.
Как лечить эту херь, без сноса шиндовса? (Windows 10, последние обновы и всё такое)
Подробнее
e Process Hacker Hacker View Tools Users Help ^7 Refresh Options Find handles or DLLs ^ System information D ^ X Processes Services Network Disk Name Local address Local port Remote address Rem... Prot... State Owner Send bytes g firefox.exe (10264) http://monopeets.com 4905 http://monopeets.com 4906 TCP Established ^ firefox.exe (10500) http://monopeets.com 4904 http://monopeets.com 4903 TCP Established 2,12 kB g firefox.exe (10500) http://monopeets.com 4903 http://monopeets.com 4904 TCP Established g firefox.exe (4532) http://monopeets.com 4896 http://monopeets.com 1567 TCP Established 171,26 kB n explorer.exe (7580) http://monopeets.com 1567 http://monopeets.com 4896 TCP Established 1,01 kB ^ firefox.exe (4964) http://monopeets.com 4885 http://monopeets.com 4884 TCP Established 12 B g firefox.exe (4964) http://monopeets.com 4884 http://monopeets.com 4885 TCP Established g firefox.exe (236) http://monopeets.com 4881 http://monopeets.com 4880 TCP Established 7,82 kB g firefox.exe (236) http://monopeets.com 4880 http://monopeets.com 4881 TCP Established g firefox.exe (4532) http://monopeets.com 4879 http://monopeets.com 4878 TCP Established 7,95 kB g firefox.exe (4532) http://monopeets.com 4878 http://monopeets.com 4879 TCP Established nvcontainer.exe (4160) http://monopeets.com 65001 http://monopeets.com 1582 TCP Established £¡3 Battle.net.exe (1692) http://monopeets.com 1621 http://monopeets.com 1620 TCP Established 54 B £¡3 Battle.net.exe (1692) http://monopeets.com 1620 http://monopeets.com 1621 TCP Established [¿J nvcontainer.exe (4160) http://monopeets.com 1582 http://monopeets.com 65001 TCP Established
anon
Еще на тему
http://greatis.com/blog/howto/remove-monopeets-com.htm