Ставим Арч, а лучше генту.
И теперь, чтобы поставить туда майнер, придётся сильно постараться. Да даже если удастся, то он работать не будет, как надо.
Но самое трудное будет его найти и скачать в интернете.
Туториал особенно пригодится торрент-пиратам:
Чекаем планировщик задач:
Жмём Win + R;
Пишем taskschd.msc и жмём Enter;
Идем в «Библиотека планировщика задач»;
Ищем подозрительные задачи
Чекаем монитор ресурсов:
Жмём Win + R;
Пишем Resmon и жмём Enter;
Сортируем процессы по состоянию и ищем приостановленные;
Гуглинг их названий покажет, что из них майнер.
Берем на заметку
Продаются видеокарты на любой вкус на Али и на Яндекс Маркете.
Некоторое время назад сталкивался с аналогичным.
Поймали майнер вероятнее всего с активатором винды, потому что система была буквально нулевая на свежекупленном компе (а может тот майнер специально подсадил человек, накатывавший систему, хз).
Прятался зловред под именами неких системных процессов (точно не помню имена процессов, но выдавало их имя пользователя, под которым они запускались) и не давал поставить антивирь (выскакивала ошибка, что якобы запрещено админом). В хостах оказался огромный список адресов, пересылаемых на 8.8.8.8 (если правильно помню), а при попытке вбить запрос с текстом ошибки в поиске соответствующая вкладка браузера тут же закрывалась.
Во время ковыряния нашел в одном из файлов словарь с запретными поисковыми запросами, коих было около 3 десятков.
По запросу со здорового компа выяснил, что список запрещенных для запуска экзешников находится в реестре. В моем случае редактор реестра работал, поэтому очистить бан-лист и установить антивирь проблемы не составило. Если же regedit тоже окажется заблокирован (вообще странно, что вирусописатели не сделали этого, потому что блокировка редактора реестра, диспетчера задач и msconfig - это известная тема еще хз с каких времен; по крайней мере, в конце 2000х - начале 2010х, когда было массовое засилье винлокеров, так делал едва ли не каждый подобный вредонос), необходим загрузочный диск или флешка с загрузочной сборкой винды с возможностью ковыряться в реестре препарируемой системы (всякие там ратиборусы должны подойти). Точно так же чистим черный список, первично прогоняем диск с зараженной системой с помощью актуальной версии CureIT, далее загружаемся в основную систему, пробуем установить антивирь и долечиваем им до конца, в том числе подтверждаем восстановление состояния хостов, реестра и т. п. после вредоносных действий.
Случайно обнаружил у себя на компьютере ошибку, когда Realtek HD не смог запуститься (дома ремонт и интернет отключил, так как съехал на другую квартиру). При этом, когда был интернет, никаких ошибок не было.
Загуглил и вуаля, натыкаюсь на https://www.safezone.cc/threads/virus-realtek-hd.45365/ в котором сказано, что это вирус-майнер. И тут проблема, когда открываю сайт, чтобы скачать обнаружитель майнеров AV block remover, мой браузер тупо закрывается. Оказывается, майнер блокирует те сайты, с которых можно скачать лекарство и просто завершает работу браузера.
Пришла гениальная мысль! Я начинаю скачивать какой-нибудь фильм и перехожу по ссылке, чтобы скачать AV block remover. И браузер не закрывается, а только предлагает закрыть или продолжить скачивание.
Именно так, я смог скачать (быстро перекликивая с вкладки на вкладку), получилось с раза пятого.
После чего запустил программу, майнер удален, систему почистил. Антивируса не было, теперь есть. Пользуйтесь!
Итак, симптомы этой гадости:
1. А че мой ноут звучит как боинг на взлете?
2. Ля, а почему игра лагает?
3. Кто такой этот ваш COM Surrogate и нахрена он грузит мне процессор?
4. А че у меня антивирус не встает, потому что мне системный администратор запретил? Этож домашний комп.
5. АЛЯРМА, у меня сайты сами закрываются и проводник и вообще все.
6. У меня нет плиты, потому что я жарю яичницу на крышке ноутбука
7. И тому подобное...
Копаем глубже, разъясняем про майнера:
Кто-то когда-то (конечно же не ты) смотрел много порнухи и качал всякий шлак. Подцепил майнера, ублюдка такого, который на твоих мощностях криптовалюту добывает. Бывает. Главное чтобы мама не спалила.
Суть такая, в папке "'C:\ProgramData\RealtekHD" лежит файлик taskhost.exe. И смело маскируется в диспетчере задач под COM Surrogate, запускаемый dllhost''ом, который в свою очередь должен лежать в ""C:\Windows\System32". Подозрительно? Я тоже так считаю. Вот этот шлак и есть тот самый вирусняк.
Собственно, помимо этого он:
1. Создает папки в "'C:\ProgramData", которые создали бы топ 10 антивирусов при установке, делает их скрытыми (ну вот прям совсем скрытыми, чуть ли не с признаком "системная") и блокирует к ним доступ достопочтенному тебе и системе. На опережение в общем действует гаденыш.
2. Эта хитрая жопа лезет в твой регистр и банит тебе там возможности рабоать с проводником, таск менеджером и прочими полезными вещами. Причем как бы не совсем банит, надо же не спалиться, а так, чуть чуть:
2.1. Установка антивирусов - пошел в жопу, этого нам тут не хватало
2.2. Зайти и удалить файл вируса - ты что, с дуба рухнул? ЗАБАНЕНО
2.3. Слишком долго шаришься по проводнику? - не ешь мои мощности для майнинга, курва.
3. Он решает, что зайти на сайты, которые помогут тебе решить проблему, скачать антивирус и так далее - это плохая затея, поэтому ограждает тебя от этих плохих действий, внося в файл HOSTS небольшие корректировки (где-то 80 штук).
Так, а делать то мы с этим че будем?
Тут все изи, по шагам, по минутам:
1. Жмякаем Win+R тыкаем по клавиатуре "msconfig.exe" ну и на Enter ткнуть не забываем
2. Вкладочка "Загрузка", галочка "Безопасный режим" и ребутнемся
Теперь мы этому говну не по зубам, он же под службу маскируется, а мы их отключили (обязательно потирать руки или гладить кота, как злодей из бондианы)
3. Опять наш любимый Win+R пальчиками набираем "regedit" жмякаем Enter
4. Смело идем в "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'"
Там еще может быть папочка "DisallowRun"" - Вот оно то нам и надо, оно банит нам запуск программ (в нашем случае - антивирусов).
5. Если там много хлама - проделки вируса, удаляем их (там обычно написано, что он банит)
6. Выходим из безопасного режима (Шаг 1-2, только безопасный режим наоборот отключаем)
Финишная прямая.
7. Как нибудь через три пды колено (флешка, телефон, телеграм, да пофиг) закидываем себе на комп малюсенький дистрибутив Rkill. Эта штука при запуске ненадолго остановит уродца и поубивает его процессы.
8. Собственно, нахрена нужен предыдущий шаг? Если есть желание поиграть в самого быстрого стрелка на диком западе - можешь попробовать запустить Rkill, а потом сразу зайти и удалить приложуху с вирусом. Если нет - запускаем, качаем антивирус (я обычно докторвеба для таких вещей использую), устанавливаем, стартуем проверочку. Найдет пару измененных этой штукой файлов и починит или удалит.
9. Файлик "hosts.sys" может быть не починить. Залезаем к нему домой по адресу "C:\Windows\System32\drivers\etc", открываем в блокнотике и удаляем все строки без # первым символом. сохраняем как "hosts"", меняем расширение с ".txt" на ".sys"
Сейчас вместе думаем "Да сколько уже можно?!", но верим в лучшее, осталось чутка.
10. Заходим в "'C:\ProgramData", ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него "полный доступ" и "запрещено"
Сильно зло думаем "Скотина, как он имеет право хозяйничать на моем компе.?!"
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.
На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке
Тут по прочитанным комментам - есть бесплатная утилитка DrWeb cureit ссылка вот
Несмотря на мое общение с ПК на «ты», я каким-то образом сумел подхватить точно такой же майнер себе на рабочую машину.
Источником скорее всего стали левые сайты с торрентами, которые предлагают всякого рода ломаный (в том числе portable) софт, который нужен на один раз что-то сделать/открыть.
После такого танца с бубном и полного удаления вируса с машины, мне ночью сменили пароли на почтовых ящиках, благо я заранее позаботился и привязал их к номеру телефона. И письма (в одном ящике было более десятка тысяч) удалить не успели.
Поэтому, если вы у вас такой вирус имел место быть, обязательно смените незамедлительно все пароли, что вы когда-либо вводили с вылеченного компьютера, так как помимо самого майнера и защиты его от удаления там стоят снифферы, которые передают все ваши данные злоумышленникам.
Всегда доверял великому m0nkrus`у, его сборки у меня стоят везде, огромное ему СПАСИБИЩЕ!!!
Но вот скачал тут его последнюю сборку Microsoft Office 2016-2021, установил, естественно при установке отключил антивирус. После заметил аномальную активность - одно ядро процессора всегда загружено на 100%. Служба, ответственная за процесс, маскируется под Microsoft Windows Search. Никакие танцы с бубном не приводят к успеху - одно ядро постоянно кто-то жрёт. Возможно майнер. Пришлось восстановить образ системы, благо делался всего месяц назад, сразу проблема аномальной активности исчезла.
Мне очень хочется верить что это не дело рук самого m0nkrus`а, а происки распространителей, которые вшили бяку в его дистрибутив.
Будьте бдительны. Всем бобра.
Вчера был интересный случай, у клиента были жалобы на годовалый ноут на Ryzen-5 5300U, что он шумит громко и постоянно включается кулер даже с закрытой крышкой и меня вызвали заменить термопасту и почистить... но всё оказалось гораздо интереснее:
Я сразу заметил что windows 10 без антивируса и решил установить китайца Total 360, и первое с чем столкнулся, что не могу зайти на его сайт, ну думаю хз санкции давай через VPN попробую, через vpn скачал... но тут сюрприз антивирус просто не запускается, скачал касперского также через vpn и та же история... Скачать drweb cureit не возможно, через пару секунд после начала его загрузки любой браузер закрывался автоматически.
Я начал искать системные ошибки и неожиданно понял что сайт remontka.pro тоже не открывается....и тут я допер, что у нас в компе кто-то живет, причем очень хитрый майнер... при работе неожиданно начинают крутиться кулеры, но при попытке в диспетчере задач увидеть кто грузит систему там никого нет и вентилятор сразу успокаивается... т.е. вирус отслеживает наши действия в режиме онлайн...
Прикол как именно он запретил запуск установщиков антивирусов, он прописал запрет в реестре на запуск конкретных файлов:
А в файле HOSTS запрещенными оказалось более сотни сайтов, помогающие выявить вирус...
Причем даже после удаления ключей в реестре и файла хост, антивирусы начали скачиваться и запускаться, но отказывались устанавливаться, выдавая разнообразные ошибки... оказывается вирус применил ещё один хитрый трюк, он создал в C:\Program Files стандартные папки установки для всех антивирусов, сделал их только для чтения и скрыл пометив как системные... вот грязный извращенец)))
ЧТО ПОМОГЛО:
загрузка в безопасном режиме, чистка руками папок в C:\Program Files, подключение телефона в качестве usb модема и через него закачка CUREIT, антивирусная проверка, затем загрузка в обычном режиме еще один прогон CUREIT удаление вируса:
установка полноценного 360 Total Security, всем рекомендую кстати работает быстро ловит все известные вирусы не хуже касперского. Конечно передаёт все ваши данные товарищу СИ, но присмотр большого брата никому ещё не мешал)))
По итогам клиент доволен, ноут работает бесшумно, не греется и не просыпается с закрытой крышкой...
