Победа над вирусом-майнером
Итак, в прошлом посте я просил помочь с удалением вируса-майнера. Напомню, что в гугле у всех, всё решается легко, 90%процентов видосов рассказывают про легкое исцеление с помощью dr.web, остальные 10%процентов лечат касперским и его утилитами. Мне это не помогло совсем. Более того, в одном из видео автор выдвигает теорию о самообучении данного вируса - возможно, т.к. dr.web, которого я удалил после неудачных проверок, установить я больше не смог.
Хочу сказать спасибо всем кто откликнулся, отдельное спасибо хочу выразить @CWMurphy, и @opachgi . Именно ваши советы в купе и дали результат.
Теперь подробнее. Через диспетчер задач я отследил расположение вируса, в моем случае в диспетчере всплывали 3 странные задачи. При открытии диспетчера сразу выскакивал процесс "системные прерывания" , который загружал цп на 100%, через пару секунд он пропадал и начинали скакать "nt kernel and system" и " realtek hd". Находились эти файлы в скрытой папке programdata/realtekHD. НО, несмотря на то что я отображаю скрытые файлы, я не видел ни папку реалтек ни файлы в ней. Тут помог совет @opachgi, с Kaspersky rescue-disk. На чистом компьютере я смонтировал загрузочную флешку. К сожалению касперский самостоятельно вирус не определил, но данная утилита показывает ВСЕ скрытые файлы и папки, по этому я без труда удалил папку реалтек и все файлы в ней.
Затем когда я перезагрузился, диспетчер все еще показывал "системные прерывания" и антивирусы я все еще не мог ставить. Все кроме malwarebytes, который посоветовал мне @CWMurphy. При сканировании он нашел !!500!! Троянов и вирусов, в имени которых были слова mine и bitcoin!. После их удаления процессор успокоился.... При этом без удаления папки realtekHD данный антивирус так же находит трояны, удаляет их и ничего не происходит. Т.е. в этой папке хранится похоже какой то корень вируса который плодит процессы и трояны(кто шарит в этом разъясните) и без ее удаления вирус размножается бесконечно. Поправьте если рассуждаю не верно.
Подведу итог. Данный вирус ооочень хитрый, рядовому пользователю не заметен и с трудом поддается удалению и самые извесные антивирусы его не видят. Надюсь мой пост будет кому то полезен, т.к. на этого майнера я потратил 2 вечера. Львиная доля времене ушла на сканирование системы доктором вебом и прочими ковыряниями в попытках установить каспера. Еще раз спасибо за советы, всем здоровья и успехов.
p.s. сорри за кашу в тексте, пишу на эмоциях.
Лечение вируса-майнера, help
Всем привет. Народ, вчера заметил что стали жутко тормозить игры, затем через Аиду обратил внимание на повышенную температуру ЦП и вишенка на торте загрузка цп в простое 100%. Далее погуглив нашел процесс в диспетчере "nt kernel and system", даже несколько процессов с таким названием, есть еще пару реалтеков и один "системные прерывания". По классике диспетчер закрывается через минуту работы, ну и сайты антивирусника закрываются. Следую советам из гугла - скачал таки dr.Web, провел им проверку, даже несколько проверок. Нашел множество зараженных файлов в сторонних программах. Полечил, удалил что то, но проблема осталась. Еще web почему то только в быстрой проверке находит какой то файл url, удалить его или полечить он не может. Но гугл говорит, что это какой то рекламный троян, якобы отношение к майнеру не имеет, но это не точно. Одним словом выручайте кто сталкивался, как быть?, антивирус не спасает, а сносить систему не хотелось бы.
Avast Secure Browser Pro на 1 год (встроенный VPN-клиент)
└ Источник: FREEHUB (мы любим радовать вас)
---------------------------------------------------------
▪️ ПОЛУЧИТЬ | 4 050₽
💁🏻♂️ Avast Secure Browser Pro — это премиальная версия бесплатного браузера Avast Secure Browser, построенного на кодовой базе Chromium, предлагает встроенный VPN-клиент и технологию блокировки рекламы для пользователей, которые хотят защититься от угроз из Интернета.
---------------------------------------------------------
🤷🏻♂️ ЧТО НУЖНО ДЕЛАТЬ:
1. Открываем » CHIPde.
└ Можно почту / Temp Mail
2. Далее оформляем заказ.
└ Переходим на почту
3. Получаем Pro на 1 год.
└ Готово, пользуемся
---------------------------------------------------------
UPD:
Более того, вы можете сделать много оформлений на временные почты и собрать большое количество ключей с лицензией на 1 год, а после продавать ключи на различных маркетах по хорошей цене / примеры.
---------------------------------------------------------
🔥Другая халява в Telegram 👉🏻 FREEHUB 👈🏻
🔻 Ключи от нашего канала для ленивых: 🔻
BRUW8L-Z8PHNJ-564CBJ
BTYQGV-2AQ992-564CVJ
BW2T46-KXXGM2-564CWA
BWX4MA-9ZN4UJ-564C2A
BXEXVQ-666DQJ-564C7J
BXJQLF-SFFY62-564C7S
BXQ52C-H8KUVJ-564CJN
BXRDJA-KHYZRJ-564CAS
BXXMYB-S4M492-564CFN
BY4TAP-EUGC82-564C9A
BY59T5-T2C4H2-564CXS
BY7EUE-UTCU22-564CFA
BYA45Q-N35ZR2-564CG2
BYCA5T-3D69H2-564CQA
BYFDMA-GCNRG2-564CUW
BYPZDE-ZZYVV2-564CPE
BYRSQS-2CMUPJ-564CQE
BYUMAM-ZWRRSJ-564CFE
BYYJDT-UYEQM2-564CV2
BZ9P74-NNUYP2-564CFW
BZG99F-RNARE2-564C6W
BZK7ES-9XMLVJ-564CPW
C25NRQ-ZGEYHJ-564C82
C27H9T-MVG8VJ-564CS6
C2ALJT-X4U9Q2-564CEJ
C2EKC7-Q4BYB2-564CGA
DDZHDY-V968YJ-564CVJ
DE3CAA-NLK5XJ-564CD2
DE7CUG-SXCDG2-564CDN
DEH6W2-H47VRJ-564CQE
DEKHDF-YZLU72-564CQN
DEMNFQ-XA6CS2-564CMJ
DEUX4C-QC7H3J-564CY2
DEUY2B-QJSUYJ-564CXN
DF6P5U-E5N9VJ-564CXW
DFD5WN-54CLP2-564CCE
DFDCD2-FZ8M72-564CGE
DFDUMU-N3KZ5J-564CCJ
DFJ3ZS-452V32-564CKW
DFMZAU-S994MJ-564CZE
DG3LLA-S9UZX2-564CNJ
DGAYMV-65JHX2-564C52
DGG3WE-MRNUY2-564CF2
DGLG4Y-PD85LJ-564C32
DGMBB3-G6NYE2-564C46
DGPELZ-MGDZD2-564CU2
DGWG3T-W9LD9J-564CV6
DGWMFX-M4CC52-564CME
DH4YD9-K77Y5J-564C56
DH64MX-J2A48J-564CMA
DHKC4P-6KE4MJ-564C5J
DHMAJD-J25RC2-564CBN
DHTKLR-JBWQ9J-564CT2
DJ6BUA-7ZTQZJ-564CQ6
DJ8UBS-U7PD92-564CVJ
DJEW2C-YKN562-564CJA
ESET всё?
Для тех, кто вдруг не в курсе:
ESET (Essential Security against Evolving Threats или эффективная защита от эволюционирующих угроз) — международный разработчик антивирусного программного обеспечения и решений в области компьютерной безопасности для корпоративных и домашних пользователей. Основана в 1992 году. Штаб-квартира ESET находится в Братиславе (Словакия).
Среди продуктов этой компании есть антивирусные решения как для индивидуального пользования, так и для компаний.
Для компаний была возможность купить "многопользовательскую" лицензию, активировать ей программу на большом количестве рабочих станций и удалённо администрировать из единого интерфейса. Система называется MSP (поставщик управляемых услуг). Возможно не совсем точно описал, но не суть.
Так вот пару дней назад они прислали письмо такого содержания:
Dear SECURITY ADMIN,
Your company %conpanyname% has been suspended in ESET MSP Administrator. You will not be able to log in to your account. Licenses associated with your company will also be suspended. Products activated by those licenses will not be updated anymore.
The suspended company can always be restored to the original state.
To find out more, please contact your Distributor ISET Software Ltd..
Sincerely,
The ESET Team
Что в переводе означает следующее:
Уважаемый АДМИН БЕЗОПАСНОСТИ,
Ваша компания %conpanyname% была приостановлена в ESET MSP Administrator. Вы не сможете войти в свою учетную запись. Лицензии, связанные с вашей компанией, также будут приостановлены. Продукты, активированные этими лицензиями, больше не будут обновляться.
Приостановленную компанию всегда можно восстановить до исходного состояния.
Чтобы узнать больше, свяжитесь с вашим дистрибьютором ISET Software Ltd.
Искренне,
Команда ESET
При этом проблем с оплатой в эту компанию не наблюдалось.
В официальных заявлениях компании, что мне удалось найти, говорится о том, что компания ESET планирует прекратить продажу продуктов на территории России и Беларусии. Но всё же обещали поддерживать уже купленное.
Вы без ограничений можете продлить действующие лицензии, перейти на старшие решения ESET, а также расширить количество узлов. Функционал продуктов не меняется, техническая поддержка по-прежнему доступна 24/7.
В связи чем вопрос пикабушникам, которые пользуются тоже продуктами этой компании. У вас что-то подобное произошло или всё норм работает?
Безопасность Windows не видит Вирус-майнер, проверьтесь
Здравствуйте, совершенно случайно обнаружил 98% загрузки процессора.
В диспетчере задач висел процесс без имени, обращался к системному файлу svchost.exe и грузил процессор.
Тем временем защитник Windows:
Иксперты из гугол говорят - попробуй малваребайтес.
И вуаля,
Trojan.BitCoinMiner, C:\USERS..........
Backdoor.Bladabindi
Маскируется под MICROSOFTSECURITYHEALTHSYSTRAYICON.EXE
SECURITYCRYPTOGRAPHY.EXE
проверил, перезагрузился, решил прогнать второй раз, и снова седая ночь...
найдено еще немного паразитов:
Раздел реестра: 2
PUP.Optional.InstallCore, HKU\S-1-5-21-2933755850-3300704682-1633800306-1001\SOFTWARE\CSASTATS\ic, Помещено в карантин, 496, 586068, 1.0.52832, , ame, , ,
Trojan.Glupteba.E, HKU\S-1-5-21-2933755850-3300704682-1633800306-1001\SOFTWARE\MICROSOFT\TESTAPP, Помещено в карантин, 495, 781336, 1.0.52832, , ame, , ,
Значение реестра: 1
Trojan.Glupteba.E, HKU\S-1-5-21-2933755850-3300704682-1633800306-1001\SOFTWARE\MICROSOFT\TESTAPP|DEFENDER, Помещено в карантин, 495, 781336, 1.0.52832, , ame, , ,
так же в карантин улетели сервисы яндексбарузера, коих было немало, активаторы, про которые я уже давно забыл и прочее.
//тут много строчек отчета о найденном майнере, кому интересно скину в комменты по просьбе.
Ламер. Я
Нужен мне был антивирус, бесплатный и смеяться не надо, знаю, что сам дурак.
Еле вычистил, хуже Аваста.... сука, везде залез.
Действительно понимаю, что не надо было это делать. Совершенно не специалист.
С уважением к профессионалам - пользователь.
К остальным, не умным как я - не устанавливайте это говно.
3. редакция поста.