Майнер, маскирующийся под Realtek HD и taskhost

Итак, симптомы этой гадости:

1. А че мой ноут звучит как боинг на взлете?
2. Ля, а почему игра лагает?
3. Кто такой этот ваш COM Surrogate и нахрена он грузит мне процессор?
4. А че у меня антивирус не встает, потому что мне системный администратор запретил? Этож домашний комп.
5. АЛЯРМА, у меня сайты сами закрываются и проводник и вообще все.
6. У меня нет плиты, потому что я жарю яичницу на крышке ноутбука
7. И тому подобное...

Копаем глубже, разъясняем про майнера:

Кто-то когда-то (конечно же не ты) смотрел много порнухи и качал всякий шлак. Подцепил майнера, ублюдка такого, который на твоих мощностях криптовалюту добывает. Бывает. Главное чтобы мама не спалила.
Суть такая, в папке "'C:\ProgramData\RealtekHD" лежит файлик taskhost.exe. И смело маскируется в диспетчере задач под COM Surrogate, запускаемый dllhost''ом, который в свою очередь должен лежать в ""C:\Windows\System32". Подозрительно? Я тоже так считаю. Вот этот шлак и есть тот самый вирусняк.

Собственно, помимо этого он:
1. Создает папки в "'C:\ProgramData", которые создали бы топ 10 антивирусов при установке, делает их скрытыми (ну вот прям совсем скрытыми, чуть ли не с признаком "системная") и блокирует к ним доступ достопочтенному тебе и системе. На опережение в общем действует гаденыш.
2. Эта хитрая жопа лезет в твой регистр и банит тебе там возможности рабоать с проводником, таск менеджером и прочими полезными вещами. Причем как бы не совсем банит, надо же не спалиться, а так, чуть чуть:
2.1. Установка антивирусов - пошел в жопу, этого нам тут не хватало
2.2. Зайти и удалить файл вируса - ты что, с дуба рухнул? ЗАБАНЕНО
2.3. Слишком долго шаришься по проводнику? - не ешь мои мощности для майнинга, курва.
3. Он решает, что зайти на сайты, которые помогут тебе решить проблему, скачать антивирус и так далее - это плохая затея, поэтому ограждает тебя от этих плохих действий, внося в файл HOSTS небольшие корректировки (где-то 80 штук).

Так, а делать то мы с этим че будем?

Тут все изи, по шагам, по минутам:
1. Жмякаем Win+R тыкаем по клавиатуре "msconfig.exe" ну и на Enter ткнуть не забываем
2. Вкладочка "Загрузка", галочка "Безопасный режим" и ребутнемся
Теперь мы этому говну не по зубам, он же под службу маскируется, а мы их отключили (обязательно потирать руки или гладить кота, как злодей из бондианы)
3. Опять наш любимый Win+R пальчиками набираем "regedit" жмякаем Enter
4. Смело идем в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'"
Там еще может быть папочка "DisallowRun"" - Вот оно то нам и надо, оно банит нам запуск программ (в нашем случае - антивирусов).
5. Если там много хлама - проделки вируса, удаляем их (там обычно написано, что он банит)
6. Выходим из безопасного режима (Шаг 1-2, только безопасный режим наоборот отключаем)
Финишная прямая.
7. Как нибудь через три пды колено (флешка, телефон, телеграм, да пофиг) закидываем себе на комп малюсенький дистрибутив Rkill. Эта штука при запуске ненадолго остановит уродца и поубивает его процессы.
8. Собственно, нахрена нужен предыдущий шаг? Если есть желание поиграть в самого быстрого стрелка на диком западе - можешь попробовать запустить Rkill, а потом сразу зайти и удалить приложуху с вирусом. Если нет - запускаем, качаем антивирус (я обычно докторвеба для таких вещей использую), устанавливаем, стартуем проверочку. Найдет пару измененных этой штукой файлов и починит или удалит.
9. Файлик "hosts.sys" может быть не починить. Залезаем к нему домой по адресу "C:\Windows\System32\drivers\etc", открываем в блокнотике и удаляем все строки без # первым символом. сохраняем как "hosts"", меняем расширение с ".txt" на ".sys"

Сейчас вместе думаем "Да сколько уже можно?!", но верим в лучшее, осталось чутка.

10. Заходим в "'C:\ProgramData", ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него "полный доступ" и "запрещено"
Сильно зло думаем "Скотина, как он имеет право хозяйничать на моем компе.?!"
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.

На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке

UPD:

Тут по прочитанным комментам - есть бесплатная утилитка DrWeb cureit ссылка вот

Лига Сисадминов

1.6K постов17.7K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.

Вы смотрите срез комментариев. Показать все
43
Автор поста оценил этот комментарий

Такое ощущение, что переустановить Windows будет проще и быстрее, чем выполнить этот квест.

раскрыть ветку (14)
4
Автор поста оценил этот комментарий

Восстановить из бэкапа, 10 минут. 

3
Автор поста оценил этот комментарий
Собрал недавно свой первый комплюктер (своими корявыми пальцами), пока ставил активатор винды естесно поймал говна этого. Столкнулся первый раз и естесно паника пиздец. Нашел видео на 20 минут, где на 19 минуте чел сказал, что можно просто винду переставить. У меня жопа сгорела😀
раскрыть ветку (2)
3
DELETED
Автор поста оценил этот комментарий

Активаторы винды берутся из проверенных источников и по факту скачивания проверяются ещё раз. НЕ ищутся поисковиком и НЕ качаются по первой же попавшейся ссылке.


Активаторы винды 8 / 8.1 / 10 / 11 могут и работают БЕЗ программных исполняемых файлов - есть комплект скриптов Microsoft Activation Scripts, где всё делается встроенными функциями системы БЕЗ задействования внешних программ-активаторов.


Винда 8 - 10 - 11 ставится минимум на 2 Гб ОЗУ (версии 32-бит) и версии 64-бит минимум на 4 Гб ОЗУ. Так что в Windows 7 и ниже надобность сейчас мало у кого - железо позволяет.

раскрыть ветку (1)
1
Автор поста оценил этот комментарий
Я и зашел с той позиции, что я максимально профан в этом и не разбирался, к сожалению, потому что было тотально похер до этого. И спросить особо не у кого было. Методом проб и ошибок так сказать..
5
Автор поста оценил этот комментарий
Зашёл это написать. Мелкий сын постоянно цепляет всякое. Порезал диск, под систему отвёл 100 гигов, в случае очередного зловреда Винду переустановить 15 мин.
5
Автор поста оценил этот комментарий
Предпросмотр
YouTube1:11
1
Автор поста оценил этот комментарий

Чистую систему настраивать дольше, даже с развёртыванием бекапа из образа. Просто реинсталл ничего не даст.

Автор поста оценил этот комментарий
Собственно это муж и сделал на нашем ноуте, когда браузер и проводник закрывались, антивирус не устанавливал и тд. но недавно я опять проснулась ночью от того, что ноут ночью вышел из сна и сам над чем-то надрывался , опять страшно что суперважные документы надо будет куда-то перекидывать и переустанавливать винду
раскрыть ветку (1)
Автор поста оценил этот комментарий
Суперважные документы по стандарту должны копироваться в облако. Если вы этого не делаете...
Автор поста оценил этот комментарий

если есть еще несколько программ на 100+ гигов нихрена не быстрей

раскрыть ветку (2)
Автор поста оценил этот комментарий

Если на компе стоят некие важные программы, занимающие аж 100 гб - можно было бы выделить еще несколько десятков мегабайт под антивирус. Или, хотя бы, нефиг шляться по порносайтам и тыкать по всяким подозрительным ссылкам. 

раскрыть ветку (1)
Автор поста оценил этот комментарий

да ладно важные программы, сейчас почти у любой игры размер около 50 Гб :-)

Автор поста оценил этот комментарий

А что там такого нажал одну кнопочку и компьютер сам переустановился и на рабочий стол закинул список программ, которые у тебя были установлены ранее. Крутяк!!!


Это называется сброс винды:

https://support.microsoft.com/ru-ru/windows/переустановка-wi...


Я после того как поймал такую фигню (типа все антивирусы без права записи в папку и исключения для всех антивирусов.

Заморачиваться и искать оставленные вирусом backdoor не стал и сбросил систему.

1
Автор поста оценил этот комментарий

Сначала думал об этом, но у меня был ооочень скучный выходной

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку