Майнеры

Или как избавиться от "вируса" майнера в свежих репаках от xatab.

xatab покинул нас больше года назад, но есть крайне неприятный нюанс сегодняшнего дня.

Если вы обратили внимание, то репаки от xatab продолжают появляться на торрентах типа byrut, мореигр и аналогичных.

Это не помощники нашего xatab, это гады.

Поясню.

Последнее время многих одолевает "вирус" майнер. Бороться с ним антивирусы не желают. Понятное дело, ведь в реальности он не вирус, а скрытый запускаемый из планировщика задач файл.

Я исследовал вопрос попадания на комп майнера и обратил внимание на современные репаки от xatab.

Они на 90% заражены майнером.

Какой-то урод активно пользуется именем доброго человека, а все эти мореигр и пр., проверив репак на вирусы, и, естественно не найдя их, спокойно выкладывают репак на раздачи.

Как почистить комп от майнера. Общая инструкция (возможны небольшие расхождения по названиям файлов, но они несущественны:

Запись идёт в планировщик заданий на запуск файла типа RealtekAudioHD, сохранённого  в скрытую папку. Он, (может быть ещё пара файлов) собственно, и является майнером.

1. Запускаете диспетчер задач.

2. Тут же прекращается работа майнера.

3. Закрываете диспетчер задач.

4. Ждёте запуска майнера (по звуку вентиляторов, хотя бы определите).

5. Засекаете время запуска майнера +- пару секунд.

6. Запускаете планировщик заданий и убиваете все задания, запущенные в засечённое Вами время.

7. Чистите чем-нибудь привычным реестр. (Не обязательно, а так, для души).

8. Перезагружаетесь.

8 Вуаля. Проблема снята.

Кому не лень, тот и до самого скрытого файла докопается, но мне искать его было абсолютно не интересно, поскольку он становится безвреден без запуска из планировщика заданий.

Если сия инфа помогла вам, то поднимите за меня и светлое имя xatab рюмочку кофе или стопочку чая добрым пятничным вечером :)

Будьте бдительны в сети!

Всем бобра!

Порой так интересно наблюдать за эволюцией компьютерных вирусов. Вот так подхватишь какую-то дрянь, начинаешь разбираться и так увлекаешься этим делом, прямо чувствуешь себя Дроздовым. И ведь каждый раз найдешь что-то новенькое, уловки любой ценой защититься от всяких там юзверей.

Немного пояснения: в виду своей деятельности и лени пришлось раскурочать свою винду в решето. Понятно, что никаких антивирусов она и не видела никогда, да и тот же win defender отправлен в вечный сон реестром и гпо, открытая удаленка и вседоверяющий файервол. Никакой адекватной защиты в трёх словах.

Но и соответственно отлов вирусов, в частности майнеров, для меня не в новинку.

История: как-то заметил, что система стала виснуть на ровном месте. Лезем в диспетчер задач загрузка 100% и через секунду 10%. Классика.
Ну, думаю, приключение на 20 минут...
Лезу качать DrWeb cureit. Открываю сайт, браузер крашится. Ага... Знаем, проходили...
Лезем качать ProcessLasso. Любимый softportal, и тут нате переадресация на домен гугла.
Это дело тоже не в новинку: лезем искать файл hosts, и вот тут пошли интересности. А файла-то нету... Тут я списал на свою глупость, что вдруг где-то не там искал, все-равно к тому моменту cureit уже была скачана на ноут и перекинута на шару.
Ставим сканить систему, а параллельно находим ProcessLasso на другом сайте и начинаем выискивать процессы, которые как-то неадекватно кушают ресурсы. Таких оказалось несколько taskhost, который в диспетчере именовался COM Surrogate, audiodg и ещё парочка, которые позже cureit пачкой и почистил.
Что в этом оказалось интересного. При попытке открыть расположение файла происходил краш проводника и диспетчера задач, но во время фриза системы удалось углядеть путь до файла: C:/program data/realtek hd
Лезем туда напрямую, и... папки нет(видимость всех скрытых файлов папок включена). Не отчаиваемся, открываем консоль и пробуем искать оттуда. Все прекрасно видит, и даже позволяет залезть и полистать файлики.

По итогу cureit все почистил. И тут я вспомнил про hosts, полез туда же консолькой и о чудо, файлик-то на месте, открываем, удаляем тонну строк переадресации на 8.8.8.8, сохраняем, заменяем, радуемся жизни.

Позже узнал, что данный вирь сидит в новых репаках от "xatab'a". Что за люди... Ничего святого в них нет.

На этом я думал, что все и порешилось, пока на моих же глазах в систему удаленно не вошёл некий John - скрытая, как позже выяснилось, учетка с правами администратора. Но об этом уже в следующий раз, если кому-то будет это интересно.

Всем привет.

Попался мне сегодня пост

Ноутбук

Шутки шутками, но недавно столкнулся с такой ситуацией, когда после перезагрузки мой далеко не слабый комп вдруг в простое начал шуметь, температура процессора сразу поднялась до 70 градусов, как при игре. Открываю диспетчер задач, нагрузка резко падает, и всё становится как обычно. После закрытия диспетчера задач вдруг опять вентиляторы начинают шуметь, процесс начинает греться, открываю диспетчер задач, история повторяется. Если открыть Диспетчер задач и быстро отсортировать по нагрузке на процессор, то становится видно, что систему грузит программа MicrosoftHost.exe, которая находится в папке C:\ProgramData\WindowsTask\. Сразу первым делом пытаюсь зайти на сайт Dr.Web, чтобы скачать CureIt, но при переходе на сайт, меня вдруг перекидывает на страницу 8.8.8.8 вроде, или что-то такое было. Ну после этого я сразу понял, что подцепил какой-то вирус, если погуглить по названию процесса, то пишут, что это скрытый майнер, что объясняет почему там грузит систему одна программа. Притом, если скачать CureIt с телефона и запустить на компе, то CureIt находит вирус и удаляет, как будто бы. Но после перезагрузки всё остаётся также.

Решил написать, как почистить данный вирус, если знать что делать, то времени занимает немного, но поначалу  я часа полтора сидел, пока всё почистил. Но некоторые моменты сделаны довольно хитро, если не очень хорошо ориентируешься в компах, то фиг почистишь этот вирус.

В общем для того, чтобы эту бяку полностью вычистить надо проделать следующие шаги.

Сразу говорю, я точно уже не помню, как назывались процессы и т.д., и это действия только для того типа скрытого майнера, который я поймал, у других могут отличаться. Но думаю сама последовательность действий может помочь.

1. Первым делом включаем отображение системных файлов, потому что папки с вирусом созданы как системные. И включаем отображение скрытых файлов. После всех действий можно обратно выключить. Нужно сделать как на скрине.

2. После этого открываем файл hosts, который находится в папке C:\Windows\System32\drivers\etc\. Там будет видно много строк наподобие такой

8.8.8.8  drweb.ru

Не помню точно, на какой адрес было перенаправление, но в файле будет куча подобных строк, с адресами всех популярных антивирусов. Удаляем все эти строки, и сохраняем файл hosts. Редактировать надо в режиме администратора, иначе прав не хватит.

3. Теперь надо найти все процессы вируса. Было несколько папок с вирусом, которые лежали в папке C:\ProgramData\. Чтобы наверняка их найти, открываем Диспетчер задач, и включаем отображение столбца Командная строка, и ищем процессы, которые находятся в папке C:\ProgramData\. Например, помню был один вирус, который назывался Realtek HD, он был со значком динамика, т.е. маскировался под звуковые драйвера, но запущен он был не из папки C:\Windows\System32\, а из папки C:\ProgramData\.

Если нашли такой процесс, нажимаем правой кнопкой на процесс, далее Свойства, и открываем вкладку Цифровые подписи, у нормальных драйверов и процесс будут подписи, у вируса их не будет.

Находим все такие процесс, которые лежат в папках внутри C:\ProgramData\ и останавливаем их, иначе не получится удалить папку, пока программа внутри неё запущена.

4. Далее заходим в папку C:\ProgramData\. Там видим кучу системных папок, среди которых будут папки с именами известных антивирусов (думаю из-за этого CureIt и не мог ничего сделать, потому что не было прав на папку), и папки, в которых лежат процессы, которые мы остановили. Сделать с этими папками мы ничего не можем, т.к. при попытке открыть или что-то сделать, нам пишет, что нет прав, даже если у нас права администратора.

С каждой папкой нам необходимо сделать следующие действия:

Нажимаем правой кнопкой -> Свойства -> Безопасность -> Дополнительно.

В открывшемся окне мы видим, что у этой папки нет владельца. Нажимаем Изменить и указываем свою учетную запись владельцем.

И обязательно ставим галочку для дочерних объектов. После этого везде нажимаем ОК, чтобы сохранить. Теперь спокойно удаляем эту папку. Это нужно сделать со всеми папками с именами антивирусов и с процессами, которые мы ранее удалили. После этого надо в зайти в папки

C:\Program Files\

C:\Program Files (x86)\

И точно также изменить владельца и удалить папки с именами антивирусов и различных программ от вирусов. Мне к 20 папке надоело проделывать все эти действия, поэтому можно сделать проще, через командную строку. Можно сразу в блокноте подготовить список всех папок и выполнить

takeown /F C:\ProgramData\Avira\ /R /D Y

takeown /F C:\ProgramData\DrWeb\ /R /D Y

5. Готово. После этого можно скачать тот же CureIt и всё проверить, также можно обратно скрыть системные файлы. И ещё этот майнер добавил свои папки в исключения Защитника Windows, на всякий случай надо тоже оттуда удалить эти папки.

Проблема заключается в том, что где-то раз в плюс-минус 5 минут комп чуток подвисает - идёт 100% загрузка проца и, скорее всего, видюхи, судя по работе её кулера. Ну, и естественно, что эти тормоза не приносят ничего приятного в пользование компом.

Непосредственно перед этим скачком автоматически закрывается диспетчер задач, если он был до этого открыт.

Я пробовал гуглить проблему и вышел на киберфорум, где нашёлся топик со схожими симптомами. Там говорят, что это майнер и советуют скачать AVZ и в нём выполнить некий скрипт. Далее проблема стала за тем, что я просто не смог запустить AVZ, так как после открытия программы она тут же автоматически закрывается. В итоге я запустил её и выполнил скрипт из безопасного режима, однако это вообще ничего не дало.

Тогда я попробовал зарегиться на форуме и создать тему уже непосредственно по своему случаю, но сразу после авторизации браузеры стали автоматически закрываться :(

Также пробовал использовать ESET и Avast, но с ними та же беда, что с AVZ: я просто не могу их установить - они закрываются.

Винду переустанавливал месяц назад - это тоже не помогло. Встроенные в винду брандмауэр и защитник у меня если что включены, настройки параметров выдачи уведомлений о вносимых в ОС изменениях тоже включены и ничего не показывают. Кстати, что характерно, загрузка проца и подвисания не такие жёсткие, когда отсутствует доступ к инету.

В общем, я не знаю, что делать и надеюсь, что мне тут подскажут решение этой проблемы...

Кажись, нашёл гадёныша:

В папке C - ProgramData - RealtekHD находится файл taskhostw, который запускает периодически процесс taskhost с описанием COM surrogate!

При попытке зайти в папку место хранения файла папка тут же закрывается.

Гугл выдаёт, что это таки майнер (ситуация вообще 1 в 1 как у меня)

Когда и пост, и комментарии просто шедевральны
#comment_247473810
Ссылка на пост: Накакай себе на бэху)

Герои из комментариев: @Fiano, @pumpkinscissors, @2ch.ru, @Stim213