Майнер, маскирующийся под Realtek HD и taskhost

Итак, симптомы этой гадости:

1. А че мой ноут звучит как боинг на взлете?
2. Ля, а почему игра лагает?
3. Кто такой этот ваш COM Surrogate и нахрена он грузит мне процессор?
4. А че у меня антивирус не встает, потому что мне системный администратор запретил? Этож домашний комп.
5. АЛЯРМА, у меня сайты сами закрываются и проводник и вообще все.
6. У меня нет плиты, потому что я жарю яичницу на крышке ноутбука
7. И тому подобное...

Копаем глубже, разъясняем про майнера:

Кто-то когда-то (конечно же не ты) смотрел много порнухи и качал всякий шлак. Подцепил майнера, ублюдка такого, который на твоих мощностях криптовалюту добывает. Бывает. Главное чтобы мама не спалила.
Суть такая, в папке "'C:\ProgramData\RealtekHD" лежит файлик taskhost.exe. И смело маскируется в диспетчере задач под COM Surrogate, запускаемый dllhost''ом, который в свою очередь должен лежать в ""C:\Windows\System32". Подозрительно? Я тоже так считаю. Вот этот шлак и есть тот самый вирусняк.

Собственно, помимо этого он:
1. Создает папки в "'C:\ProgramData", которые создали бы топ 10 антивирусов при установке, делает их скрытыми (ну вот прям совсем скрытыми, чуть ли не с признаком "системная") и блокирует к ним доступ достопочтенному тебе и системе. На опережение в общем действует гаденыш.
2. Эта хитрая жопа лезет в твой регистр и банит тебе там возможности рабоать с проводником, таск менеджером и прочими полезными вещами. Причем как бы не совсем банит, надо же не спалиться, а так, чуть чуть:
2.1. Установка антивирусов - пошел в жопу, этого нам тут не хватало
2.2. Зайти и удалить файл вируса - ты что, с дуба рухнул? ЗАБАНЕНО
2.3. Слишком долго шаришься по проводнику? - не ешь мои мощности для майнинга, курва.
3. Он решает, что зайти на сайты, которые помогут тебе решить проблему, скачать антивирус и так далее - это плохая затея, поэтому ограждает тебя от этих плохих действий, внося в файл HOSTS небольшие корректировки (где-то 80 штук).

Так, а делать то мы с этим че будем?

Тут все изи, по шагам, по минутам:
1. Жмякаем Win+R тыкаем по клавиатуре "msconfig.exe" ну и на Enter ткнуть не забываем
2. Вкладочка "Загрузка", галочка "Безопасный режим" и ребутнемся
Теперь мы этому говну не по зубам, он же под службу маскируется, а мы их отключили (обязательно потирать руки или гладить кота, как злодей из бондианы)
3. Опять наш любимый Win+R пальчиками набираем "regedit" жмякаем Enter
4. Смело идем в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'"
Там еще может быть папочка "DisallowRun"" - Вот оно то нам и надо, оно банит нам запуск программ (в нашем случае - антивирусов).
5. Если там много хлама - проделки вируса, удаляем их (там обычно написано, что он банит)
6. Выходим из безопасного режима (Шаг 1-2, только безопасный режим наоборот отключаем)
Финишная прямая.
7. Как нибудь через три пды колено (флешка, телефон, телеграм, да пофиг) закидываем себе на комп малюсенький дистрибутив Rkill. Эта штука при запуске ненадолго остановит уродца и поубивает его процессы.
8. Собственно, нахрена нужен предыдущий шаг? Если есть желание поиграть в самого быстрого стрелка на диком западе - можешь попробовать запустить Rkill, а потом сразу зайти и удалить приложуху с вирусом. Если нет - запускаем, качаем антивирус (я обычно докторвеба для таких вещей использую), устанавливаем, стартуем проверочку. Найдет пару измененных этой штукой файлов и починит или удалит.
9. Файлик "hosts.sys" может быть не починить. Залезаем к нему домой по адресу "C:\Windows\System32\drivers\etc", открываем в блокнотике и удаляем все строки без # первым символом. сохраняем как "hosts"", меняем расширение с ".txt" на ".sys"

Сейчас вместе думаем "Да сколько уже можно?!", но верим в лучшее, осталось чутка.

10. Заходим в "'C:\ProgramData", ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него "полный доступ" и "запрещено"
Сильно зло думаем "Скотина, как он имеет право хозяйничать на моем компе.?!"
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.

На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке

UPD:

Тут по прочитанным комментам - есть бесплатная утилитка DrWeb cureit ссылка вот

Лига Сисадминов

1.6K постов17.7K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

Вы смотрите срез комментариев. Показать все
51
Автор поста оценил этот комментарий

А куда дефолтный антивирус делся в этой истории?

раскрыть ветку (30)
12
Автор поста оценил этот комментарий

ЛЮБОЙ антивирус не поможет, если у компа долбоеб.


Я тут как-то рассказывал историю, как коллеге на работе вылечил ноут от локера, потом объяснил всю теорию безопасности в интернетах (ну типа нехуй ходить туда куда не знаешь и открывать все подряд), а этот ебанько через 30 минут после лечения прибежал с фразой "ну это... бля... там опять жопа, помоги". А там локер уже на уровне биоса (ну реально комп через секунду после включения выдает запрос с переводом денег, даже мать свои данные показать не успевает) и свидетели его "работы" рассказали историю - это ебанько на работе сидит открывает порнуху, ему предлагает скачать файл, комп орет, что файл пиздец, он закрывает уведомление, качает, при запуске ему опять "НЕ ОТКРЫВАЙ ТАМ ПИЗДЕЦ", он проходит этот этап, запускает и там еще кнопочку какую-то нажал, чтобы подтвердить. Я после такого просто послал такого дегрода и не стал даже пытаться что-то делать.

20
Автор поста оценил этот комментарий
Послан первым. Он не видит многие вирусы.
раскрыть ветку (8)
67
Автор поста оценил этот комментарий
Да отлично он видит, и единственный среди всех работает на уровне ядра системы. На 10ке это лучший антивирус практически, для домашнего пользования во всяком случае (понятное дело что во всяких корпоративных касперских есть возможности по администрированию всей компьютерной сети)
раскрыть ветку (5)
14
Автор поста оценил этот комментарий

На 11 он пиздец дикий. Отключаю все его функции а ему похуй. Он все равно угрозы видит

раскрыть ветку (3)
65
Автор поста оценил этот комментарий

Первая угроза это ты... )

раскрыть ветку (2)
63
Автор поста оценил этот комментарий
А вторая все твои мечты
3
Автор поста оценил этот комментарий

Ну не покупать же софт.

Автор поста оценил этот комментарий
Тем не менее, конкретно на эту штуку с риалтеком ему похуй)
1
Автор поста оценил этот комментарий

Вообще то Майкрософт антивирус видит очень много и даже больше чем надо, из за его работы на уровне ядра системы к которому у обычных антивирусов доступа нет проста.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Нормальный вирус ни один из них выковырять не может. Только live CD.
6
Автор поста оценил этот комментарий

Он, конечно, молодец, и обнаружил сгенерированный этим майнером временный файл как троян, но больше нихрена сделать не смог, к сожалению. Конкретно эту фигню на 11ой он почему-то не видит. Про другие вирусы не знаю, никогда мне ничего не подсвечивал, хотя регулярно прогоняет проверку.

раскрыть ветку (12)
1
Автор поста оценил этот комментарий

Вообще очень странная дичь, особенно с порнухой. Кто-то ведь настолько заморочился, чтобы майнить на ноутах 4ядра4гигаВстроеннаяГПУ(ПК не лучше).

раскрыть ветку (2)
6
Автор поста оценил этот комментарий
На самом деле майнинг даже на таком железе имеет смысл. Тут берут не мощным железом, а количеством.
раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Подтверждаю. Лет 7 назад работал сисадмином на крупном заводе, машин 1000 во всех цехах и конторе, процентов 80 юзеров их тупо никогда не тушили. Машинки обычные, офисные. Ну и трудились на них майнеры. На пеффко хватало
2
Автор поста оценил этот комментарий

Чувак, где ты раньше с этим постом был?)) Спасибо огромное, давно комп подтормаживал, но мне впадлу было разбираться. А тут на твой пост наткнулся- полез проверять, один в один как ты описал. Все вылечил, с небольшими трудностями, но вылечил, спасибо!

ещё комментарии
3
Автор поста оценил этот комментарий

Как куда, умельцы как всегда батниками и твикирами его сразу вырезают при установки винды, ведь им вирусы не по чём.

раскрыть ветку (5)
4
Автор поста оценил этот комментарий
И отрубают обновления винды...
Получают ничем не защищённую машину со стремительно устаревающей системой.
раскрыть ветку (4)
Автор поста оценил этот комментарий

Утютю... Ставим легчайший OSArmor - и досвиданья, мой любимый вирус. Пробраться-то проберется, а вот запуститься и наделать бед - хрен.

В 99% случаев. Ну так и антивирб любой 1% зеродеев пропускает практически завсегда

раскрыть ветку (3)
Автор поста оценил этот комментарий
Ставим... 99.9 процентов юзеров которые бездумно отключили все это, даже не будут вникать что это и для чего. Просто обойдут стороной. Смотреть нужно со стороны обычного тупого юзера, а не человека который хоть немного разбирается.
раскрыть ветку (2)
Автор поста оценил этот комментарий

Это где ты видел "обычного тупого юзера", который "батниками и твикирами его сразу вырезают при установки винды" "И отрубают обновления винды..."???

раскрыть ветку (1)
Автор поста оценил этот комментарий
Ты очнулся спустя 2 месяца. Я уже и забыл про тебя, даже лень диалог продолжать. А на последок скажу лишь одно, техническая грамотность среди людей на крайне низком уровне, поэтому ручками шаловливыми бездумно отключают все что скажет условный Вася из круга общения. Потому что Вася по мнению юзера шарит в компах.
Автор поста оценил этот комментарий
У него лапки🤣
Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку