Вирус МАЙНЕР. История одного ПК
Первый раз публикую пост, хотя о пикабу знаю лет 10. Решил поделиться своей историей как я обнаружил на своем ПК вирус, который майнил криптовалюту дяде Васе. Итак, приступим...
Имеется сие чудо:
1.i5 10400f (65 tdp)
2. gigabyte aorus b560m elite
3. crucial ballistix 8gb x 2(3200 mhz)
4. cougar 700W
5. aerocool cylon 4 (145 tdp)
6. aerocool cylon ATX(корпус, опен кейс)
7. KFA2 3060
При покупке охлаждения aerocool cylon 4 решил попробовать намазать термопасту, которая шла в комплекте. После сборки и тестов оказалось что в простое без нагрузки температура процессора плавала около 55-60С. Непорядок... грешил на плохую термопасту. Комп вообще не грузил особо, некогда было поиграть в тяжелые игрушки.
Спустя пару месяцев решил взяться за температуру основательно. Меняю на годами проверенную GD900.
В итоге имеем следующее:
На скрине температура процессора 57С при штатной скорости работы вентилятора. Температура то нормальная, если была бы нагрузка...Стресс тест ЦП или тяжелая игрушка... Но открыто лишь 2 программы, которые не потребляют ничего, от слова совсем. Да и термопаста свежая, хорошая.
А что будет с нагревом если выкрутить скорость вентиляторов на максимум? Ответ: НИЧЕГО. 1 градус упал. Что-то совсем странное происходит. Хоть батюшку зови, хоть экзорциста - думал я.
Так, надо посмотреть что с процессором происходит банально открыв диспетчер задач, может процесс какой-то грузит, может Windows Defender решил 24/7 начать проверять на вирусы 2,5ТБ или еще чего.
Открыл диспетчер задач. 4% нагрузка ЦП - системные расходы. Фоновые процессы и 3 открытые программы, по сути нагрузки нет. Сейчас смотрим на температуру - вдруг она стала нормальной. Еще больше ничего не понятно. Перезагружаюсь. AIDA64 показывает все те же 55-60С. Открываю диспетчер заново - температура падает. Закрываю - растет. Открываю - падает. Закрываю - растет... Кажись след поймал, теперь более менее понятно куда дальше копать.
Собрав все воедино, можно сделать вывод: есть процесс, который нагружает ЦП, а при открытии диспетчера задач сворачивается(скрытый процесс). Ну и то что это вирус само собой понятно. Имея немного теории о том, что такое майнинг и криптовалюта, догадываюсь о том, что это именно вирус-майнер.
Лечение и первые проблемы
Переустановить Windows - способ самый простой. Но как же мне не хотелось заново скачивать и устанавливать ПО, снова логиниться на куче сайтов(да есть синхронизация, но работает не на всех сайтах). Да и к тому же, переустановить Windows при такой проблеме - для меня означает смириться со своей беспомощностью(в конце поста узнаете почему, бонус) и в итоге вирус то победил бы в такой ситуации.
Дабы не стать жертвой и сэкономить время решаю чистить все антивирусом. Гугл сказал что с такими задачами хорошо справляется Dr.Web. Перед этим решил посмотреть на что способен Windows Defender. В двух словах, сканировал несколько часов, прошел 2,5 млн файлов, не нашел ничего, окончания сканирования дожидаться не стал и пошел за помощью к Dr.Web.
Кажется легко! Скачал, почистил да и дело с концом, радуешься. Но не тут то было...xd
Пишем в поисковой строке drWeb - происходит закрытие браузера через 1 сек после отображения найденных результатов. Другой запрос (drWeb скачать/дрвеб скачать/что-то подобное...), поиск другого антивируса и другой браузер - не помогает. Браузер закрывается как только вирус видит что ты ищешь программу, которая его удалит. Пробую сделать все то же самое через безопасный режим - безрезультатно. Хитрая зараза.
Логическое завершение и победа!
В общем удалось мне каким-то образом быстро прокликать нужный сайт и скачать Dr.Web Cureit.
Но запустить не с первого раза. При запуске скачанного антивируса вылезает окно о том, что программа требует более высоких прав для запуска, и мне нужно обратиться к администратору. Ну какая же рыба умная думал. А администратор наверное был дядя Вася, который майнил на моем ПК))
Насоздавал дубликатов антивируса, переименовывал и один файл все таки запустился. Чудо.
Выбрал жесткие диски, просканировал все(заняло около часа). Какашек было найдено около 600шт - трояны, подозрительные и зараженные файлы и т.п. Но главное одна единственная строчка "Объект - Х. Угроза - MINER". Фиксацию с лечением уже не вел, скрин рандомный с гугла, так для примера.
После лечения перезагрузился, просканировал по новой чтобы наверняка. И ву-а-ля! Спустя уже сутки температура радует глаз. Дядя Вася остался без прибыли.
P.S. Если хватило сил дочитать до конца, то вот бонус как и обещал.
Ирония данного поста и истории в целом в том, что я являюсь сервисным инженером по ремонту компьютерной техники уже около 5 лет. Сапожник без сапог получается. Чинил другим - сам сидел 2 месяца с проблемой, о которой даже не догадывался. Если честно напрямую столкнулся с таким первый раз и теперь стал параноиком, который всегда проверяет температуру. Даже клиентским ПК когда это не нужно))) Ну как говорится все бывает в первый раз. Гляньте теперь свои цельсии и вы, мало ли) Спасибо тем, кто дочитал до конца и удачи ;)
Лига Сисадминов
2.5K постов19K подписчиков
Правила сообщества
Мы здесь рады любым постам связанным с рабочими буднями специалистов нашей сферы деятельности.