Майнер, маскирующийся под Realtek HD и taskhost

Итак, симптомы этой гадости:

1. А че мой ноут звучит как боинг на взлете?
2. Ля, а почему игра лагает?
3. Кто такой этот ваш COM Surrogate и нахрена он грузит мне процессор?
4. А че у меня антивирус не встает, потому что мне системный администратор запретил? Этож домашний комп.
5. АЛЯРМА, у меня сайты сами закрываются и проводник и вообще все.
6. У меня нет плиты, потому что я жарю яичницу на крышке ноутбука
7. И тому подобное...

Копаем глубже, разъясняем про майнера:

Кто-то когда-то (конечно же не ты) смотрел много порнухи и качал всякий шлак. Подцепил майнера, ублюдка такого, который на твоих мощностях криптовалюту добывает. Бывает. Главное чтобы мама не спалила.
Суть такая, в папке "'C:\ProgramData\RealtekHD" лежит файлик taskhost.exe. И смело маскируется в диспетчере задач под COM Surrogate, запускаемый dllhost''ом, который в свою очередь должен лежать в ""C:\Windows\System32". Подозрительно? Я тоже так считаю. Вот этот шлак и есть тот самый вирусняк.

Собственно, помимо этого он:
1. Создает папки в "'C:\ProgramData", которые создали бы топ 10 антивирусов при установке, делает их скрытыми (ну вот прям совсем скрытыми, чуть ли не с признаком "системная") и блокирует к ним доступ достопочтенному тебе и системе. На опережение в общем действует гаденыш.
2. Эта хитрая жопа лезет в твой регистр и банит тебе там возможности рабоать с проводником, таск менеджером и прочими полезными вещами. Причем как бы не совсем банит, надо же не спалиться, а так, чуть чуть:
2.1. Установка антивирусов - пошел в жопу, этого нам тут не хватало
2.2. Зайти и удалить файл вируса - ты что, с дуба рухнул? ЗАБАНЕНО
2.3. Слишком долго шаришься по проводнику? - не ешь мои мощности для майнинга, курва.
3. Он решает, что зайти на сайты, которые помогут тебе решить проблему, скачать антивирус и так далее - это плохая затея, поэтому ограждает тебя от этих плохих действий, внося в файл HOSTS небольшие корректировки (где-то 80 штук).

Так, а делать то мы с этим че будем?

Тут все изи, по шагам, по минутам:
1. Жмякаем Win+R тыкаем по клавиатуре "msconfig.exe" ну и на Enter ткнуть не забываем
2. Вкладочка "Загрузка", галочка "Безопасный режим" и ребутнемся
Теперь мы этому говну не по зубам, он же под службу маскируется, а мы их отключили (обязательно потирать руки или гладить кота, как злодей из бондианы)
3. Опять наш любимый Win+R пальчиками набираем "regedit" жмякаем Enter
4. Смело идем в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'"
Там еще может быть папочка "DisallowRun"" - Вот оно то нам и надо, оно банит нам запуск программ (в нашем случае - антивирусов).
5. Если там много хлама - проделки вируса, удаляем их (там обычно написано, что он банит)
6. Выходим из безопасного режима (Шаг 1-2, только безопасный режим наоборот отключаем)
Финишная прямая.
7. Как нибудь через три пды колено (флешка, телефон, телеграм, да пофиг) закидываем себе на комп малюсенький дистрибутив Rkill. Эта штука при запуске ненадолго остановит уродца и поубивает его процессы.
8. Собственно, нахрена нужен предыдущий шаг? Если есть желание поиграть в самого быстрого стрелка на диком западе - можешь попробовать запустить Rkill, а потом сразу зайти и удалить приложуху с вирусом. Если нет - запускаем, качаем антивирус (я обычно докторвеба для таких вещей использую), устанавливаем, стартуем проверочку. Найдет пару измененных этой штукой файлов и починит или удалит.
9. Файлик "hosts.sys" может быть не починить. Залезаем к нему домой по адресу "C:\Windows\System32\drivers\etc", открываем в блокнотике и удаляем все строки без # первым символом. сохраняем как "hosts"", меняем расширение с ".txt" на ".sys"

Сейчас вместе думаем "Да сколько уже можно?!", но верим в лучшее, осталось чутка.

10. Заходим в "'C:\ProgramData", ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него "полный доступ" и "запрещено"
Сильно зло думаем "Скотина, как он имеет право хозяйничать на моем компе.?!"
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.

На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке

UPD:

Тут по прочитанным комментам - есть бесплатная утилитка DrWeb cureit ссылка вот

Лига Сисадминов

1.6K постов17.7K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

Вы смотрите срез комментариев. Показать все
99
Автор поста оценил этот комментарий

всегда бесил такой стиль повествования в айтишных статьях.

а-ля журнал "хакер" за 2000й год



а всю твою простыню можно свести к паре команд:

taskkill /f /im taskhost.exe

del /f /q "C:\ProgramData\RealtekHD\taskhost.exe"

а после этого уже не спеша посмотреть где остались следы(реестр с запрещающими политиками, hosts, настройки прокси в IE и т.п. - крч там, где они обычно гадят)

раскрыть ветку (10)
23
Автор поста оценил этот комментарий

Некогда объяснять, вводи RM -rf


Все команды должны быть объяснены. Если тебе не нужно объяснение, что делает некая команда, если ты и так знаешь, где в реестре находятся политики, запрещающие что-либо - статья тебе не нужна, она просто не для тебя. Фраза "ну посмотри там в реестре политики" не имеет смысла, если я знаю, где они там находятся, то я определенно знаю и то, что их надо посмотреть.

11
Автор поста оценил этот комментарий
Потому что автор застрял в 00-х
2
Автор поста оценил этот комментарий
Ага, только вторая команда результата может и не дать...
2
Автор поста оценил этот комментарий

Есть ещё такой прикол как планировщик задач. И этот планировщик может сразу же после входа в систему запустить скрипт, который загрузит все это говно обратно. Тут проще всего, по опыту, не пытаться исправить симптомы, а просто вернуть винду к исходному состоянию.

11
Автор поста оценил этот комментарий

Обращайся)

Каждому свое, я за развлекалово)

раскрыть ветку (3)
7
Автор поста оценил этот комментарий

а чё делать если после  msconfig.exe вылазит окно разрешить внести изменения на этот компьютер  и только одна кнопка "нет")) и вся инструкция по бараде.

раскрыть ветку (2)
1
Автор поста оценил этот комментарий

Я не сталкивался, возможно нет админских прав у юзера. Вообще, на сайте микрософта есть описание как в безопасный режим провалиться разными способами

раскрыть ветку (1)
Автор поста оценил этот комментарий

да, нет прав админских, только как гость,  натыкали случайно а назад ну не рельно вернуть

Автор поста оценил этот комментарий
Да кстати я так же юзверю это дерьмо удалял, только из безопасного режима, там еще права на запись для файла майнера вроде править ннадо
1
Автор поста оценил этот комментарий

откуда автору это знать, наверно вчера только комп купил

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку