Вирус МАЙНЕР. История одного ПК⁠⁠

Первый раз публикую пост, хотя о пикабу знаю лет 10. Решил поделиться своей историей как я обнаружил на своем ПК вирус, который майнил криптовалюту дяде Васе. Итак, приступим...
Имеется сие чудо:
1.i5 10400f (65 tdp)

2. gigabyte aorus b560m elite

3. crucial ballistix 8gb x 2(3200 mhz)
4. cougar 700W

5. aerocool cylon 4 (145 tdp)

6. aerocool cylon ATX(корпус, опен кейс)

7. KFA2 3060

При покупке охлаждения aerocool cylon 4 решил попробовать намазать термопасту, которая шла в комплекте. После сборки и тестов оказалось что в простое без нагрузки температура процессора плавала около 55-60С. Непорядок... грешил на плохую термопасту. Комп вообще не грузил особо, некогда было поиграть в тяжелые игрушки.

Спустя пару месяцев решил взяться за температуру основательно. Меняю на годами проверенную GD900.

В итоге имеем следующее:

На скрине температура процессора 57С при штатной скорости работы вентилятора. Температура то нормальная, если была бы нагрузка...Стресс тест ЦП или тяжелая игрушка... Но открыто лишь 2 программы, которые не потребляют ничего, от слова совсем. Да и термопаста свежая, хорошая.

А что будет с нагревом если выкрутить скорость вентиляторов на максимум? Ответ: НИЧЕГО. 1 градус упал. Что-то совсем странное происходит. Хоть батюшку зови, хоть экзорциста  - думал я.

Так, надо посмотреть что с процессором происходит банально открыв диспетчер задач, может процесс какой-то грузит, может Windows Defender решил 24/7 начать проверять на вирусы 2,5ТБ или еще чего.

Открыл диспетчер задач. 4% нагрузка ЦП - системные расходы. Фоновые процессы и 3 открытые программы, по сути нагрузки нет. Сейчас смотрим на температуру - вдруг она стала нормальной. Еще больше ничего не понятно. Перезагружаюсь. AIDA64 показывает все те же 55-60С. Открываю диспетчер заново - температура падает. Закрываю  - растет. Открываю  - падает. Закрываю -  растет... Кажись след поймал, теперь более менее понятно куда дальше копать.

Собрав все воедино, можно сделать вывод: есть процесс, который нагружает ЦП, а при открытии диспетчера задач сворачивается(скрытый процесс). Ну и то что это вирус само собой понятно. Имея немного теории о том, что такое майнинг и криптовалюта, догадываюсь о том, что это именно вирус-майнер.

Лечение и первые проблемы

Переустановить Windows - способ самый простой. Но как же мне не хотелось заново скачивать и устанавливать ПО, снова логиниться на куче сайтов(да есть синхронизация, но работает не на всех сайтах). Да и к тому же, переустановить Windows при такой проблеме  - для меня означает смириться со своей беспомощностью(в конце поста узнаете почему, бонус) и в итоге вирус то победил бы в такой ситуации.

Дабы не стать жертвой и сэкономить время решаю чистить все антивирусом. Гугл сказал что с такими задачами хорошо справляется Dr.Web. Перед этим решил посмотреть на что способен Windows Defender. В двух словах, сканировал несколько часов, прошел 2,5 млн файлов, не нашел ничего, окончания сканирования дожидаться не стал и пошел за помощью к Dr.Web.

Кажется легко! Скачал, почистил да и дело с концом, радуешься. Но не тут то было...xd
Пишем в поисковой строке drWeb - происходит закрытие браузера через 1 сек после отображения найденных результатов. Другой запрос (drWeb скачать/дрвеб скачать/что-то подобное...), поиск другого антивируса и другой браузер - не помогает. Браузер закрывается как только вирус видит что ты ищешь программу, которая его удалит. Пробую сделать все то же самое через безопасный режим - безрезультатно. Хитрая зараза.

Логическое завершение и победа!

В общем удалось мне каким-то образом быстро прокликать нужный сайт и скачать Dr.Web Cureit.

Но запустить не с первого раза. При запуске скачанного антивируса вылезает окно о том, что программа требует более высоких прав для запуска, и мне нужно обратиться к администратору. Ну какая же рыба умная думал. А администратор наверное был дядя Вася, который майнил на моем ПК))

Насоздавал дубликатов антивируса, переименовывал и один файл все таки запустился. Чудо.

Выбрал жесткие диски, просканировал все(заняло около часа). Какашек было найдено около 600шт - трояны, подозрительные и зараженные файлы и т.п. Но главное одна единственная строчка "Объект - Х. Угроза - MINER". Фиксацию с лечением уже не вел, скрин рандомный с гугла, так для примера.

После лечения перезагрузился, просканировал по новой чтобы наверняка. И ву-а-ля! Спустя уже сутки температура радует глаз. Дядя Вася остался без прибыли.

P.S. Если хватило сил дочитать до конца, то вот бонус как и обещал.

Ирония данного поста и истории в целом в том, что я являюсь сервисным инженером по ремонту компьютерной техники уже около 5 лет. Сапожник без сапог получается. Чинил другим - сам сидел 2 месяца с проблемой, о которой даже не догадывался. Если честно напрямую столкнулся с таким первый раз и теперь стал параноиком, который всегда проверяет температуру. Даже клиентским ПК когда это не нужно))) Ну как говорится все бывает в первый раз. Гляньте теперь свои цельсии и вы, мало ли) Спасибо тем, кто дочитал до конца и удачи ;)