Я словил вирус майнер



На днях случайном образом словил на компьютер вирус майнер. Это уже происходило со мной раньше, но в этот раз он был серьезно улучшен.
По мимо того что система грузилась в 100% и температуры процессора были на уровне 94-97° градусов, этот майнер максимально защищал себя и вводил ограничения в систему, а именно:

- диспетчер задач и все его аналоги не работают
- любая попытка скачать или открыть антивирус сразу отменятся
- Загрузится с флешки для использования Live USB утилит нельзя, так как на BIOS теперь стоит пароль и принудительно включена функция Secure Boot
- Права на системные папки изменены, их больше нельзя удалить
- Майнер маскируется под системный процесс и его очень тяжело вычислить

Спустя пару дней активной борьбы, мне все таки удалось его удалить. Конечно всегда был вариант снести Windows и начаться заново, но восстанавливать все желания не было, плюс данный майнер оставил свою копию на всех дисках сразу, 2 SDD и 1 HDD, таким образом их надо было бы все форматировать в ноль, а это звучит совсем ужасно.
Как же у меня получилось избавиться от него?
Скажу сразу гайды и видео на YouTube мне никак не помоги, они скорее всего эффективны против старых майнеров, например того что я ловил раньше, пару лет назад.
Вот алгоритм действий, который помог мне
1. Сбросить BIOS и выключить функцию Secure Boot
2. Загрузится с флеши на live USB дистрибутив Linux с утилитами по устранению вредоносных программ
3. Просканировать систему с помощью Dr Web Cureit, удалить все что он найдет, в моем случае это Trojan.Clipper и BtcMine
4. Загрузиться обратно в Windows
5. Воспользоваться утилитой RKill, она нужна для остановки всех подозрительных и неизвестных процессов
6. Запустить утилиту MineSearcher, она заточена конкретно искать майнеры
7. Ещё раз Dr Web для надежности
8. Готово, температура процессора 70°, нагрузка в среднем 15%

Кстати мне не помог даже ChatGPT 4o.
А ещё немного грустно, что не смотря на мою победу над ним, я к сожалению не смог отследить откуда именно он он выполз. Такие майнеры работают с определённой отсрочкой, чтобы ты не мог отследить после какого скачанного файла это все произошло. Грубо говоря месяц назад ты мог скачать зараженный файл, но даст он о себе знать только сегодня.

Майнер, маскирующийся под Realtek HD и taskhost

Итак, симптомы этой гадости:

1. А че мой ноут звучит как боинг на взлете?
2. Ля, а почему игра лагает?
3. Кто такой этот ваш COM Surrogate и нахрена он грузит мне процессор?
4. А че у меня антивирус не встает, потому что мне системный администратор запретил? Этож домашний комп.
5. АЛЯРМА, у меня сайты сами закрываются и проводник и вообще все.
6. У меня нет плиты, потому что я жарю яичницу на крышке ноутбука
7. И тому подобное...

Копаем глубже, разъясняем про майнера:

Кто-то когда-то (конечно же не ты) смотрел много порнухи и качал всякий шлак. Подцепил майнера, ублюдка такого, который на твоих мощностях криптовалюту добывает. Бывает. Главное чтобы мама не спалила.
Суть такая, в папке "'C:\ProgramData\RealtekHD" лежит файлик taskhost.exe. И смело маскируется в диспетчере задач под COM Surrogate, запускаемый dllhost''ом, который в свою очередь должен лежать в ""C:\Windows\System32". Подозрительно? Я тоже так считаю. Вот этот шлак и есть тот самый вирусняк.

Собственно, помимо этого он:
1. Создает папки в "'C:\ProgramData", которые создали бы топ 10 антивирусов при установке, делает их скрытыми (ну вот прям совсем скрытыми, чуть ли не с признаком "системная") и блокирует к ним доступ достопочтенному тебе и системе. На опережение в общем действует гаденыш.
2. Эта хитрая жопа лезет в твой регистр и банит тебе там возможности рабоать с проводником, таск менеджером и прочими полезными вещами. Причем как бы не совсем банит, надо же не спалиться, а так, чуть чуть:
2.1. Установка антивирусов - пошел в жопу, этого нам тут не хватало
2.2. Зайти и удалить файл вируса - ты что, с дуба рухнул? ЗАБАНЕНО
2.3. Слишком долго шаришься по проводнику? - не ешь мои мощности для майнинга, курва.
3. Он решает, что зайти на сайты, которые помогут тебе решить проблему, скачать антивирус и так далее - это плохая затея, поэтому ограждает тебя от этих плохих действий, внося в файл HOSTS небольшие корректировки (где-то 80 штук).

Так, а делать то мы с этим че будем?

Тут все изи, по шагам, по минутам:
1. Жмякаем Win+R тыкаем по клавиатуре "msconfig.exe" ну и на Enter ткнуть не забываем
2. Вкладочка "Загрузка", галочка "Безопасный режим" и ребутнемся
Теперь мы этому говну не по зубам, он же под службу маскируется, а мы их отключили (обязательно потирать руки или гладить кота, как злодей из бондианы)
3. Опять наш любимый Win+R пальчиками набираем "regedit" жмякаем Enter
4. Смело идем в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'"
Там еще может быть папочка "DisallowRun"" - Вот оно то нам и надо, оно банит нам запуск программ (в нашем случае - антивирусов).
5. Если там много хлама - проделки вируса, удаляем их (там обычно написано, что он банит)
6. Выходим из безопасного режима (Шаг 1-2, только безопасный режим наоборот отключаем)
Финишная прямая.
7. Как нибудь через три пды колено (флешка, телефон, телеграм, да пофиг) закидываем себе на комп малюсенький дистрибутив Rkill. Эта штука при запуске ненадолго остановит уродца и поубивает его процессы.
8. Собственно, нахрена нужен предыдущий шаг? Если есть желание поиграть в самого быстрого стрелка на диком западе - можешь попробовать запустить Rkill, а потом сразу зайти и удалить приложуху с вирусом. Если нет - запускаем, качаем антивирус (я обычно докторвеба для таких вещей использую), устанавливаем, стартуем проверочку. Найдет пару измененных этой штукой файлов и починит или удалит.
9. Файлик "hosts.sys" может быть не починить. Залезаем к нему домой по адресу "C:\Windows\System32\drivers\etc", открываем в блокнотике и удаляем все строки без # первым символом. сохраняем как "hosts"", меняем расширение с ".txt" на ".sys"

Сейчас вместе думаем "Да сколько уже можно?!", но верим в лучшее, осталось чутка.

10. Заходим в "'C:\ProgramData", ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него "полный доступ" и "запрещено"
Сильно зло думаем "Скотина, как он имеет право хозяйничать на моем компе.?!"
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.

На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке

Компьютерный мастер. Часть 270. Как изощрённо вирус с антивирусами боролся... примитивно, но эффективно...

Вчера был интересный случай, у клиента были жалобы на годовалый ноут на Ryzen-5 5300U, что он шумит громко и постоянно включается кулер даже с закрытой крышкой и меня вызвали заменить термопасту и почистить... но всё оказалось гораздо интереснее:

Я сразу заметил что windows 10 без антивируса и решил установить китайца Total 360, и первое с чем столкнулся, что не могу зайти на его сайт, ну думаю хз санкции давай через VPN попробую, через vpn скачал... но тут сюрприз антивирус просто не запускается, скачал касперского также через vpn и та же история... Скачать drweb cureit не возможно, через пару секунд после начала его загрузки любой браузер закрывался автоматически.

Я начал искать системные ошибки и неожиданно понял что сайт remontka.pro тоже не открывается....и тут я допер, что у нас в компе кто-то живет, причем очень хитрый майнер... при работе неожиданно начинают крутиться кулеры, но при попытке в диспетчере задач увидеть кто грузит систему там никого нет и вентилятор сразу успокаивается... т.е. вирус отслеживает наши действия в режиме онлайн...

Прикол как именно он запретил запуск установщиков антивирусов, он прописал запрет в реестре на запуск конкретных файлов:

А в файле HOSTS запрещенными оказалось более сотни сайтов, помогающие выявить вирус...

Причем даже после удаления ключей в реестре и файла хост, антивирусы начали скачиваться и запускаться, но отказывались устанавливаться, выдавая разнообразные ошибки... оказывается вирус применил ещё один хитрый трюк, он создал в C:\Program Files стандартные папки установки для всех антивирусов, сделал их только для чтения и скрыл пометив как системные... вот грязный извращенец)))

ЧТО ПОМОГЛО:

загрузка в безопасном режиме, чистка руками папок в C:\Program Files, подключение телефона в качестве usb модема и через него закачка CUREIT, антивирусная проверка, затем загрузка в обычном режиме еще один прогон CUREIT удаление вируса:

установка полноценного 360 Total Security, всем рекомендую кстати работает быстро ловит все известные вирусы не хуже касперского. Конечно передаёт все ваши данные товарищу СИ, но присмотр большого брата никому ещё не мешал)))

По итогам клиент доволен, ноут работает бесшумно, не греется и не просыпается с закрытой крышкой...

Rutracker и модераторы в доле с майнерами

На известном нам сайте с недавних пор пошли непонятные движения, и некоторые раздачи модераторы Намеренно игнорируют, несмотря на очевидные факты

Например раздача на программу Malwarebytes repack by Emir Cardan

169 / 8 на момент написания поста

После установки программы начинаются заметные тормоза системы и кулер набирает обороты улетая в космос.

Хорошо, сносим программу через панель управления, но эффекта ноль.

В диспетчере задач появляется несколько интересных процессов taskhos, taskhostw которые ведут в подпапку RealtekAudio, с которой нельзя просто так взаимодействовать через консоль cmd или в проводнике, она скрыта не обычным способом Windows, и просто так с ней ничего не сделать

Так вот , загрузка цп 100% в простое

При заходе в диспетчер стремительно падает, и при попытке открыть расположение вредных процессов закрывается диспетчер задач и окно папки появляется на долю секунды

При попытке установить антивирусники или спец софт для удаления подобной поеботы Майнер создаёт нам проблемы - закрытия, ошибки и т.д

Всплывают также разные процессы интересные связанные с вирус и один фейк svchost

Система дымит и лагает но

Модераторы сайта глубоко наплевать на вас, они видимо в доле или по братской любви разрешают таким раздачам висеть

Решается быстрой заморозкой всех связанных процессов в process hacker и успеть за 5 секунд открыть расположение фейкового taskhost процесса который откроет ProgramData/RealtekAudio

Windows покажет нам что тут пусто, это не так. Выделенные в process hacker процессы убиваем и сразу несём папку в корзину из "пути" и очищаем ее

После запускаем восстановление системы методами Windows или методом с cyberforum где есть много сообщений о подобном вирус

Ответ Vic333 в «Сегодня "королю пиратов" xatab исполнилось бы 62 года»

Привет всем. А давайте, действительно, решим подобную проблему, а не будем устраивать охоту на ведьм.

Для этого нам понадобиться программка, которая служит мне верой и правдой уже не одну пятилетку. Называется она AnVir Task Manager, и она прекрасна. Скачать и найти может любой желающий. Что же она делает? Ну, строго говоря, это расширенный диспетчер задач, который постоянно мониторит всё, что добавляется и запускается на вашем ПК. Установили игру или программу с торрента, а а AnVir Task Manager начал спрашивать - разрешить ли добавление чего бы то не было в автозагрузку?  Смело блокируйте. В мониторе запущенных процессов, если клацнуть на подозрительную программу правой кнопкой, в выпадающем меню будет возможность отправить на сайт, где этот процесс по хеш сумме проверят на десятках разных антивирусов. Нашли вирус? Просто добавите в карантин, и анвир будет блокировать любые попытки запуска. НО! не блокируйте ничего лишнего, типа сервисов нвидии или интела, а то можно окирпичить систему). В общем, полезная утилита, которая позволяет решить 99% проблем с вирусами, майнерами и прочей хернёй. Чуть не забыл, запускать рекомендую в режиме админимтратора. Всем добра!)

Ответ на пост «Сегодня "королю пиратов" xatab исполнилось бы 62 года»

Или как избавиться от "вируса" майнера в свежих репаках от xatab.


xatab покинул нас больше года назад, но есть крайне неприятный нюанс сегодняшнего дня.

Если вы обратили внимание, то репаки от xatab продолжают появляться на торрентах типа byrut, мореигр и аналогичных.

Это не помощники нашего xatab, это гады.

Поясню.

Последнее время многих одолевает "вирус" майнер. Бороться с ним антивирусы не желают. Понятное дело, ведь в реальности он не вирус, а скрытый запускаемый из планировщика задач файл.

Я исследовал вопрос попадания на комп майнера и обратил внимание на современные репаки от xatab.

Они на 90% заражены майнером.

Какой-то урод активно пользуется именем доброго человека, а все эти мореигр и пр., проверив репак на вирусы, и, естественно не найдя их, спокойно выкладывают репак на раздачи.


Как почистить комп от майнера. Общая инструкция (возможны небольшие расхождения по названиям файлов, но они несущественны:


Запись идёт в планировщик заданий на запуск файла типа RealtekAudioHD, сохранённого  в скрытую папку. Он, (может быть ещё пара файлов) собственно, и является майнером.


1. Запускаете диспетчер задач.

2. Тут же прекращается работа майнера.

3. Закрываете диспетчер задач.

4. Ждёте запуска майнера (по звуку вентиляторов, хотя бы определите).

5. Засекаете время запуска майнера +- пару секунд.

6. Запускаете планировщик заданий и убиваете все задания, запущенные в засечённое Вами время.

7. Чистите чем-нибудь привычным реестр.

8. Перезагружаетесь.

8 Вуаля. Проблема снята.


Кому не лень, тот и до самого скрытого файла докопается, но мне искать его было абсолютно не интересно, поскольку он становится безвреден без запуска из планировщика заданий.


Если сия инфа помогла вам, то поднимите за меня и светлое имя xatab рюмочку кофе или стопочку чая добрым пятничным вечером :)


Будьте бдительны в сети!

Всем бобра!

Ответ на пост «Как удалить скрытый майнер»

1. Файл хост скрыт и его не открыть.  Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc  с заменой.

2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса?  Скачиваем RogueKiller.  Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.

Возмездие

"Экономия"

И поделом им!

Рекомендуем
@bebebe
@dim2
Тренды

Fastler - информационно-развлекательное сообщество которое объединяет людей с различными интересами. Пользователи выкладывают свои посты и лучшие из них попадают в горячее.

Контакты

© Fastler v 2.0.2, 2024


Мы в социальных сетях: