Вирус майнер - история маленькой победы
Для ЛЛ - эта гадина создала папки всевозможных антивирусов в program files и ограничила на них права (ни удалить ни посмотреть что внутри), так же в реестре добавила основные имена установщиков антивирусов в блокировку запуска.
Картинок не будет, пост пилю с телефона, но надеюсь опытным будет понятно, если будет много желающих, попробую запилить подробный пошаговый гайд.
Ввиду того что в гугле подобного решения не нашел, решил запилить пост.
Вобщем, слышал я про эту дрянь, но как то не довелось сталкиваться. Суть да дело, знакомый пожаловался что ноут постоянно шумит, а в диспетчере задач время от времени висят процессы которые грузят проц под 100.
Поковырял я первый раз, почистил всякое гомно в автозагрузке, службах, планировщике задач, процессы грузящие проц пропали, но я рано обрадовался, через какое то время тот же знакомый говорит такая же хрень, но только на этот раз при открытии диспетчера задач все говнище сразу отключалось и пропадало, ни один сайт антивирусов не открывается, антивири не устанавливаются…
Короче знакомый прошелся cureit от drweb, говно поудалялось, сайты стали соответсвенно открываться, но вот беда ни один антивирь не ставится…
Тут уже подключаюсь я, проверяем hosts - чистый, но есть бекапы, грохаем заводим новый, аваст при установке (а знакомый хотел приоритетно его) выдает «нет подключения к интернету», думаю ну наверно в реестре стоит поискать ключи которые блокирую доступ к сайтам, искал просто по слову «avast» но ничего интересного кроме кучи запрещенных к запуску имен файлов не нашел, вычистил что нашел, но та же пляска…
Гуголь в помощь, предлагают впн, днс, брандмауэр - все посмотрели все чисто…
Дальше знакомый говорит, хрен с ним с этим авастом, давай нод вкорячим, ок нод так нод, но при установке нод уже говорит что недостаточно прав?! Ну ок, запускаем от администратора, та же ерунда - нет прав на папку…
Ну тут уже я решаю залезть в program files, странно папки нод нету, ок пишу ручками в адресной строке - нет прав, ага думаю скотина вон оно что, включаю показ скрытых файлов, папка не отображается, снимаю галку с «не показывать системные файлы» и вуаля, куча скрытых папок по именам основных антивирусов, естественно ни в одну доступа нет, удалить - 49.5см…
Ну тут остается только одно «продрочить права» собственно ставлю владельцем program files и субконтейнеров пользователя, проверяю - папки пустые (которые якобы от установленных антивирусов) - удаляю их к чертям, повторяю операцию для program file x86, возвращаю владельца папок «trustedinstaller», заодно и в корне диска поудалял похожие папки с залоченными правами доступа…
Пробуем, аваст ставится влёт…
Заодно заметил что в системе появился какой то левый пользователь (через которого видать и действовал майнер) - тоже удалил от греха подальше…
Поставил аваст на полную проверку и отключился…
Вот так, много чего видел, но что папки маскируют не просто под скрытые а под скрытые системные и не просто ставят галочку «только для чтения» но еще и права ограничивают увидел впервые…