Как удалить майнер который закрывается после открытия диспетчера задач
Перейти к содержимому

Как удалить майнер который закрывается после открытия диспетчера задач

  • автор:

Как удалить Майнер с пк?

Доброго времени суток! С моим ПК произошла беда — обнаружил майнер. Кратко — заметил, что после открытия диспетчера задач он закрывается сам по себе в течении 2-3 минут. Показалось странным, также заметил, что во время открытия диспетчера нагрузка с примерно 90% падает на нормальные 10-20%. ЗАшел в стандартную программу AMD, где и увидел, что в покое мой ПК нагружен на 70-80%. НАчал гуглить — все советы не помогают. Как только я начинаю делать что либо для поиска майнера — он закрывает все. Anvir Task Manager -закрывается через секунды 2 после открытия (перепробовал миллион версий). Начинаю гуглить программы для выявления того самого злого процесса — закрывается браузер сам по себе. В общем все советы из интернета — не помогают, майнер просто не дает ничего сделать. Хотел восстановить виндовс стандартным путем — закрывается всё. Прошу помощи, так как мой уровень пользования ПК не позволяет сделать это самому.

  • Вопрос задан более двух лет назад
  • 6218 просмотров

1 комментарий

Сложный 1 комментарий

попробуйте dr web cureit
и kaspersky remove tool

они должны подчистить

дальше уже надо будет вручную его перепроверить и удалить(если останется)

Вы можете скачать эти файлы на другом ПК, закинуть их на флешку, далее загрузиться в безопастный режим и там запустить
Если в обычном он не даст скачать их

Так же откройте дисп задач — там есть пункт «автозагрузка» вней можно попробовать выключить автостарт майнера

Решения вопроса 0
Ответы на вопрос 1

Vvvyg

Был админом, сейчас в ТП

Не люблю давать советы наугад, но процентов на 95 уверен, что в этом случае поможет. Есть утилита лечения от типового майнера, скачайте, распакуйте и запустите. Если не запустится — переименуйте файл, следуйте инструкциям.
Если не скачается по прямой ссылке
https://www.regist.safezone.cc/del_miner/AVbr.zip
то это оно, дубликат на Я. Диске:
https://disk.yandex.ru/d/9nezwQQNwyLEDg

Ответ написан более двух лет назад
Комментировать
Нравится Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

вирусы

  • Вредоносное ПО
  • +1 ещё

Malwarebytes заблокировал исходящие подключения uTorrent, где в Windows он их блокирует?

  • 1 подписчик
  • 01 мая
  • 61 просмотр

Решена Словил Майнер который закрывает диспетчер задач, не даёт скачивать утилиты. (Realtek HD Audio).

Словил я вчера Майнер Realtek HD или taskhostw. Ноутбук начел тормозить и бывает очень сильно шумит. Я закрываю Realtek HD через диспетчер задач, но он потом сам заново включается и начинает шуметь. Помогите что делать?

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0

Словил я вчера Майнер Realtek HD или taskhostw. Ноутбук начел тормозить и бывает очень сильно шумит. Я закрываю Realtek HD через диспетчер задач, но он потом сам заново включается и начинает шуметь. Помогите что делать?

Ещё всегда в диспетчере задач видно процесс «Системные прерывания»

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
Помогите пожалуйста удалить вирусы!

thyrex

Ассоциация VN/VIP
VIP
Сообщения 3,795 Реакции 2,397

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
Прикреплю вам 2 скрыни диспетчера задач и логи

Снимок экрана (2).png

Вложения

Снимок экрана (3).png
76.3 KB · Просмотры: 52
CollectionLog-2023.01.05-15.43.zip
84.6 KB · Просмотры: 5

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
Прикреплю вам 2 скрыни диспетчера задач и логиПосмотреть вложение 65153
Надеюсь все правильно сделал

thyrex

Ассоциация VN/VIP
VIP
Сообщения 3,795 Реакции 2,397

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Как вариант, можно воспользоваться версией со случайным именем. Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
Сделал все как вы написали.

Вложения

CollectionLog-2023.01.05-18.42.zip
82.2 KB · Просмотры: 5
Последнее редактирование: 5 Янв 2023

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
А что делать если я не могу прикрепить вам файл «Av_block_remover, пишет файл слишком большой.

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
если надо скрин.

Вложения

Снимок экрана (5).png
50.8 KB · Просмотры: 79

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
Понял, вроде вот етот.

Вложения

AV_block_remove_2023.01.05-17.58.log
10 KB · Просмотры: 6

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
Дальше ничего делать не надо?

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291

Надо. Если нет быстрого ответа, учитывайте праздничные дни

O22 - Tasks: \Microsoft\Windows\WindowsBackup\OnlogonCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\RealtekCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\TaskCheck - C:\Programdata\ReaItekHD\taskhostw.exe (file missing) O22 - Tasks: \Microsoft\Windows\WindowsBackup\WinlogonCheck - C:\Programdata\ReaItekHD\taskhost.exe (file missing) O22 - Tasks_Migrated: conhost - C:\ProgramData\ReasonSaferWebBackup\conhost.exe (file missing)

Через Панель управления (Параметры) — Удаление программ (Приложения) — удалите нежелательное ПО:
Safer Web
WebAdvisor от McAfee

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0
Всё сделал

Вложения

Addition.txt
53.2 KB · Просмотры: 2
55 KB · Просмотры: 2

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение AlternateDataStreams: C:\ProgramData:NT [40] AlternateDataStreams: C:\ProgramData:NT2 [736] AlternateDataStreams: C:\Users\All Users:NT [40] AlternateDataStreams: C:\Users\All Users:NT2 [736] AlternateDataStreams: C:\Users\Все пользователи:NT [40] AlternateDataStreams: C:\Users\Все пользователи:NT2 [736] AlternateDataStreams: C:\ProgramData\Application Data:NT [40] AlternateDataStreams: C:\ProgramData\Application Data:NT2 [736] AlternateDataStreams: C:\Users\user\Application Data:NT [40] AlternateDataStreams: C:\Users\user\Application Data:NT2 [736] AlternateDataStreams: C:\Users\user\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\user\AppData\Roaming:NT2 [736] FirewallRules: [] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [] => (Allow) C:\Users\user\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла FirewallRules: [] => (Allow) C:\Users\user\MediaGet2\mediaget.exe => Нет файла FirewallRules: [] => (Allow) LPort=1688 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End::
Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0

Вложения

6.1 KB · Просмотры: 2

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291

Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Pelmennn2
Новый пользователь

Сообщения 13 Реакции 0

Спасибо большое, вы мне очень сильно помогли! Еще вчера я почувствувал что мой комп уже в лучшем состоянии, а сегодня он как новый. Но меня напрягает один процесс в панели задач «Системные прерывания», говорят он что то связанно с майнером. Что сним делать?

Вложения

SecurityCheck.txt
11.3 KB · Просмотры: 3
Снимок экрана (7).png
72.8 KB · Просмотры: 46

Sandor

Команда форума
Администратор
Ассоциация VN/VIP
Преподаватель
Сообщения 15,512 Реакции 3,291
всегда в диспетчере задач видно процесс «Системные прерывания»

Это нормально, волноваться не стоит.

————————— [ OtherUtilities ] —————————-
Git v.2.38.1 Внимание! Скачать обновления
Microsoft Office Профі Плюс 2019 — uk-ua v.16.0.12026.20320 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Профі Плюс 2019 — uk-ua.proof v.16.0.12026.20320 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Python 3.10.4 (64-bit) v.3.10.4150.0 Внимание! Скачать обновления
Python 3.9.13 (64-bit) v.3.9.13150.0 Внимание! Скачать обновления
——————————- [ Backup ] ———————————
Microsoft OneDrive v.22.238.1114.0002 Внимание! Скачать обновления
—————————— [ ArchAndFM ] ——————————
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.90 (64-бітна) v.5.90.0 Внимание! Скачать обновления
————————— [ IMAndCollaborate ] —————————
Discord v.1.0.9005 Внимание! Скачать обновления
Zoom v.5.11.1 (6602) Внимание! Скачать обновления
Viber v.17.9.0.0 Внимание! Скачать обновления
——————————- [ Browser ] ——————————-
Opera Stable 94.0.4606.38 v.94.0.4606.38 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Microsoft Edge v.108.0.1462.54 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы — О программе Microsoft Edge!^
—————————- [ UnwantedApps ] ——————————
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра . Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

Помогите удалить майнер

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Похожий контент

От Rembo111

Поймал майнер,название updater.exe .
Его обнаружил только MalwareBytes,MinerSearch не нашел ничего.
После удаления сразу появляется заново.Обитает в папке c://ProgramData/Microsoft
И еще одно,удивительное,в безопасном режиме с поддержкой сетевых драйверов происходит вакханалия!Слетают процессы винды,ужас полный на экране.
CollectionLog-2024.04.29-18.55.zip

zimex

Здравствуйте, поймал майнер джон, получилось удалить через доктор веб курейт, нашел сайт который не был в блоке майнера, потом установил с офф сайта др веб, снова прочистил, потом многие антивирусы не откAV_block_remove_2024.04.15-15.20.logрывались, почитал форум, прогнал это все дело через av block remover, что делать дальше? лог, созданный прогой прикрепил.

ststst

Проверил через FRST, но не могу понять, что делать дальше.
FRST.txt Addition.txt
Использовал разные программы, нашел троян через Dr. Web, но ничего не изменилось.

Артëм

В исключениях антивируса добааляются папки, и расширения, которые после удаления появляются снова. Сканирование не даëт результатов. Через реестр просто нет той папки где со слов «интернета» Они должны быть. Что делать ума не приложу(

От mmaazzik

здравствуйте. не знаю как приложить логи DRWeb и KVRT. приложу скрин проверки. все проверки делаю с включенной программой AnVir. так же несколько скринов из нее, + логи Автологера

Как удалить прячущийся майнер и понять что он вообще есть ⁠ ⁠

Предисловие: не все майнеры загружают цп на 100, бывает им хватает 10, 20, 30 %.
Прекрасным днём играл я в доту, все как бы работает вопросов нет, играю я по несколько часов подряд, и компьютер время от времени начинал гудеть сильнее чем стабильно в игре(системник), и тут мы с другом решили проверить, у кого сколько FPS в игре( качество плавности изображения кадров в секунду), и на моей RTX 2060 оказалось меньше чем на его GTX1050ti. Разгоном дело не решилось, скачали оба MSI Afterburner, и в игре решили тестить. У него стабильно 100-110, у меня то 120-130 то 80-90. Я открыл дисперчер задач и вернулся в игру, и оп)- фпс то подрос на 3-4 минуты) Открыл диспечер задач а там ничего нету( Подождав 4 минуты в игре открыл диспечер и стал смотреть убегающие процессы( по нагрузке),нашёл подозрительный процесс NT Kernel & System, отправил его в Virustotal(онлайн сайт) проверки вирусов, и попадание) скрин прилагаю мож кому поможет( маскируется под звуковую карту Realtek) На скрине слева процесс майнера, справа сводка по файлу после анализа. Удаляться просто так не захотел, скачал прогу Unlocker, и с помощью ней через перезагрузку удалил) В моем случае он потреблял 20-30% примерно. В папке файлы были невидимые. Оба улетели. Забыл добавить: при открытии диспечера задач он приостанавливает деятельность на 3-4 минуты, потом Сам закрывает диспечер задач)

Как удалить прячущийся майнер и понять что он вообще есть Компьютер, Вирус, Майнеры

Как удалить прячущийся майнер и понять что он вообще есть Компьютер, Вирус, Майнеры

2 года назад

Для отслеживания подозрительных процессов очень удобен продвинутый менеджер процессов от самой майкрософт, называется ProcessExplorer.

Качается отсюда: https://docs.microsoft.com/en-us/sysinternals/downloads/proc. (сам сайт майкрософта, так что источник безопасен).

После запуска в меню выбираем эти два пункта:

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

И соглашаемся на условия конфиденциальности вирустотала.

Бинго, теперь у вас появится новая колонка в списке процессов, где отображается результат проверки на вирустотале, плюс проверка цифровой подписи запущенного файла. По нажатию на цифры сработки откроется страница вирустотала с отчётом.

ВАЖНО: сами файлы не передаются в вирустотал, он просто ищет там готовые результаты на файл с таким же хешем, так что особо мощный интернет не нужен! Если такого файла найденно не будет, то так и будет написано в данной колонке, и только по нажатию файл будет залит для проверки!

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Так же, из полезных бонусов данной программы:

1) процессы отображаются в виде дерева, то есть вы видите, какими процессами они запущенны (на скрине показал кнопку активации данного режима)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

2) можно вывести графики загрузки (память, проц, диск, видяха итд) для каждого процесса в таблице (правой кнопкой на название колонок, там выбрать пункты с «history» — это и есть графики)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

3) Можно заменить этой программой встроенный менеджер процессов (для этого надо не просто открыть файл из архива, а сохранить его где-нибудь на компе)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

4) продвинутые графики загрузки системы, открываются по нажатию на главный график сверху окна программы

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Надеюсь, кому-то эта информация будет полезна. Сам использую данный инструмент уже лет 8, родной виндовый менеджер уже кажется убогим.

Показать полностью 5
2 года назад

Один из главных показателей, что у Вас сидит майнер это самозакрывающийся диспетчер задач через несколько минут после его открытия, и не факт что вы его увидеть в диспетчере, у меня он прятался и его там небыло видно

раскрыть ветку
2 года назад

Тоже как то думал что словил майнер, комп постоянно гудел на полную. Вскрытие позволило локализовать «майнер»)

Иллюстрация к комментарию

раскрыть ветку
2 года назад

Примерно месяц назад купил себе флешку в Ашане по скидке. Дома воткнул в комп, всё ок, продолжил пользоваться. Решил покатать в контру, а у меня вместо привычных 70-90 кадров (9600GT + C2Q Q6700) какие-то 20-30 крутятся. Не понял. Начал рыться, что у меня так жрёт производительность. Открываешь диспетчер- вроде ничего подозрительного нет. Решил залезть поглубже во всякие службы, а меня оттуда выкидывает! Захожу в инет, пытаюсь зайти на сайты по решению данных проблем- сайты не открываются. Сайты антивирусов- аналогично. Троян облажался и пустил меня на сайт различного софта, скачал удалялку трояна и комп 3 часа чистился, искал заражённые файлы с майнерами и в первую очередь показал, что на флешке этой ерунды просто завались (хотя она была пустая при открытии). Теперь носители информации просто страшно покупать.
Вот тебе и флешка из Ашана по скидке (сейчас она чистая и весь объем памяти доступен).

раскрыть ветку
2 года назад

После того, как вы поймали любой вирус или майнер, по-хорошему компьютер положено считать скомпрометированным и переставлять с полным форматированием, особенно если вы там открываете например онлайн банки

раскрыть ветку
Похожие посты
3 месяца назад

Майнер, маскирующийся под Realtek HD и taskhost⁠ ⁠

Итак, симптомы этой гадости:

1. А че мой ноут звучит как боинг на взлете?
2. Ля, а почему игра лагает?
3. Кто такой этот ваш COM Surrogate и нахрена он грузит мне процессор?
4. А че у меня антивирус не встает, потому что мне системный администратор запретил? Этож домашний комп.
5. АЛЯРМА, у меня сайты сами закрываются и проводник и вообще все.
6. У меня нет плиты, потому что я жарю яичницу на крышке ноутбука
7. И тому подобное.

Копаем глубже, разъясняем про майнера:

Кто-то когда-то (конечно же не ты) смотрел много порнухи и качал всякий шлак. Подцепил майнера, ублюдка такого, который на твоих мощностях криптовалюту добывает. Бывает. Главное чтобы мама не спалила.
Суть такая, в папке «‘C:\ProgramData\RealtekHD» лежит файлик taskhost.exe. И смело маскируется в диспетчере задач под COM Surrogate, запускаемый dllhost»ом, который в свою очередь должен лежать в «»C:\Windows\System32». Подозрительно? Я тоже так считаю. Вот этот шлак и есть тот самый вирусняк.

Собственно, помимо этого он:
1. Создает папки в «‘C:\ProgramData», которые создали бы топ 10 антивирусов при установке, делает их скрытыми (ну вот прям совсем скрытыми, чуть ли не с признаком «системная») и блокирует к ним доступ достопочтенному тебе и системе. На опережение в общем действует гаденыш.
2. Эта хитрая жопа лезет в твой регистр и банит тебе там возможности рабоать с проводником, таск менеджером и прочими полезными вещами. Причем как бы не совсем банит, надо же не спалиться, а так, чуть чуть:
2.1. Установка антивирусов — пошел в жопу, этого нам тут не хватало
2.2. Зайти и удалить файл вируса — ты что, с дуба рухнул? ЗАБАНЕНО
2.3. Слишком долго шаришься по проводнику? — не ешь мои мощности для майнинга, курва.
3. Он решает, что зайти на сайты, которые помогут тебе решить проблему, скачать антивирус и так далее — это плохая затея, поэтому ограждает тебя от этих плохих действий, внося в файл HOSTS небольшие корректировки (где-то 80 штук).

Так, а делать то мы с этим че будем?

Тут все изи, по шагам, по минутам:
1. Жмякаем Win+R тыкаем по клавиатуре «msconfig.exe» ну и на Enter ткнуть не забываем
2. Вкладочка «Загрузка», галочка «Безопасный режим» и ребутнемся
Теперь мы этому говну не по зубам, он же под службу маскируется, а мы их отключили (обязательно потирать руки или гладить кота, как злодей из бондианы)
3. Опять наш любимый Win+R пальчиками набираем «regedit» жмякаем Enter
4. Смело идем в «HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer'»
Там еще может быть папочка «DisallowRun»» — Вот оно то нам и надо, оно банит нам запуск программ (в нашем случае — антивирусов).
5. Если там много хлама — проделки вируса, удаляем их (там обычно написано, что он банит)
6. Выходим из безопасного режима (Шаг 1-2, только безопасный режим наоборот отключаем)
Финишная прямая.
7. Как нибудь через три пды колено (флешка, телефон, телеграм, да пофиг) закидываем себе на комп малюсенький дистрибутив Rkill. Эта штука при запуске ненадолго остановит уродца и поубивает его процессы.
8. Собственно, нахрена нужен предыдущий шаг? Если есть желание поиграть в самого быстрого стрелка на диком западе — можешь попробовать запустить Rkill, а потом сразу зайти и удалить приложуху с вирусом. Если нет — запускаем, качаем антивирус (я обычно докторвеба для таких вещей использую), устанавливаем, стартуем проверочку. Найдет пару измененных этой штукой файлов и починит или удалит.
9. Файлик «hosts.sys» может быть не починить. Залезаем к нему домой по адресу «C:\Windows\System32\drivers\etc», открываем в блокнотике и удаляем все строки без # первым символом. сохраняем как «hosts»», меняем расширение с «.txt» на «.sys»

Сейчас вместе думаем «Да сколько уже можно?!», но верим в лучшее, осталось чутка.

10. Заходим в «‘C:\ProgramData», ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него «полный доступ» и «запрещено»
Сильно зло думаем «Скотина, как он имеет право хозяйничать на моем компе. «
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.

На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке

UPD:

Тут по прочитанным комментам — есть бесплатная утилитка DrWeb cureit ссылка вот

Показать полностью
9 месяцев назад

Не о чем рассказать⁠ ⁠

Давным давно, когда трава была зеленее, а грудь задорнее, я была достаточно юна, чтоб стесняться некоторых посещаемых мной сайтов.
Компьютер тогда для меня был шайтан-машиной с чудесами со всего света.

«Лучшее порно только для вас!» И довольно занятные гифки. И над всей этой красотой извещение о том, что Винда заблокирована, но вот вам номер телефона.

Кровь застыла в жилах, а пот увлажнил одежду похлеще любых интересных видео. Благо, был у меня знакомый знакомого моего знакомого, к которому я помчалась, зная, что ему глубоко пох на мою активность в интернете.
Как же он смеялся.
Славный парень. Я ему три литра пива, он мне ликбез про вирусы и несколько полезных программулек и команд на всякий случай.

Месяца два спустя моя мама, женщина предпенсионного возраста, шепотом попросила меня посмотреть её компьютер.

О! Знакомые гифки)

Мама искала аудиосказки для моего племянника. Ну а я пару месяцев назад как раз неудачно скачала музыку. В общем, не нам друг друга осуждать.
У меня, конечно, уже было лекарство.

Спустя почти двадцать лет с моего первого знакомства с компьютерными вирусами.

Вычищая намедни хрень с компа ребенка, взгрустнулось мне. Не те нынче вирусы, без задора. Я лечу их, даже не купив три литра пива парнишке, у которого материнка прикручена к стене. Хотя нет, есть у меня парнишка на крайний случай, но он берет деньгами и не делится секретами.

Без огонька работают современные вирусоделы. Не о чем рассказать.

Показать полностью
11 месяцев назад

Вирусная рассылка, маскирующуаяся под «электронную повестку»⁠ ⁠

Вчера наша, и многие другие компании получили письма следующего вида:

Внимание! Письмо не открывать, вложения не открывать, и тем более не запускать исполняемые файлы из него!

Вирусная рассылка, маскирующуаяся под

Если вы обнаружили следы вредоносного ПО немедленно отключите компьютер от локальной сети и свяжитесь с Вашим системным администратором!

Проверить что компьютер заражен можно открыв в проводнике папку «%appdata%\..\Local», например
В ней будет лежать скрипт вида 93e90a923.js
Имя файла будет варьироваться. Так-же, в планировщике задач есть задание следующего вида

Вирусная рассылка, маскирующуаяся под

Для системных администраторов следует заблокировать IP адрес 185.203.119.240.
Если у вас есть соединения на этот IP — в Вашей сети есть зараженные ПК.

Изначальный скрипт соединяется с сейрвером по одному из 60-ти доменных имен или с одним из 300-та генерируемых в зависимости от текущей даты. Скрипт содержит в себе кейлоггер и другие инструменты получения информации о системе. Далее запускается код, полученный с сервера. В нашем случае это был кейлоггер со сбором информации о цифровых подписях. кейлоггер запускался в виде закодированого скрипта через powershell.
Если на вашем ПК были электронные подписи — крайне рекомендую обратится в удостоверяющий центр для их отозыва и выпуска новых.

Для деактивации требуется:

  1. Удалить задачу из планировщика заданий
  2. Завершить все процессы wscript.exe, powershell.exe, а так же другие подозрительные процессы.
  3. Проверить ветку реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\DWM] — в ней хранятся последние данные работы скрипта, лог нажатий клавиш, электронные ключи и другие данные.

Рекомендую так же удалить все файлы, созданные в момент создания скрипта .js

В данный момент активен только один из доменов указанных в скрипте: 3A60DC39_ONLINE
Еще один не оплачен: 3a60dc39_fun. Полный список доменных имен на 10.05.23 https://pastebin.com/wu9D79Cv

Показать полностью 2
1 год назад

Rutracker и модераторы в доле с майнерами⁠ ⁠

На известном нам сайте с недавних пор пошли непонятные движения, и некоторые раздачи модераторы Намеренно игнорируют, несмотря на очевидные факты

Например раздача на программу Malwarebytes repack by Emir Cardan

169 / 8 на момент написания поста

После установки программы начинаются заметные тормоза системы и кулер набирает обороты улетая в космос.

Хорошо, сносим программу через панель управления, но эффекта ноль.

В диспетчере задач появляется несколько интересных процессов taskhos, taskhostw которые ведут в подпапку RealtekAudio, с которой нельзя просто так взаимодействовать через консоль cmd или в проводнике, она скрыта не обычным способом Windows, и просто так с ней ничего не сделать

Так вот , загрузка цп 100% в простое

При заходе в диспетчер стремительно падает, и при попытке открыть расположение вредных процессов закрывается диспетчер задач и окно папки появляется на долю секунды

При попытке установить антивирусники или спец софт для удаления подобной поеботы Майнер создаёт нам проблемы — закрытия, ошибки и т.д

Всплывают также разные процессы интересные связанные с вирус и один фейк svchost

Система дымит и лагает но

Модераторы сайта глубоко наплевать на вас, они видимо в доле или по братской любви разрешают таким раздачам висеть

Решается быстрой заморозкой всех связанных процессов в process hacker и успеть за 5 секунд открыть расположение фейкового taskhost процесса который откроет ProgramData/RealtekAudio

Windows покажет нам что тут пусто, это не так. Выделенные в process hacker процессы убиваем и сразу несём папку в корзину из «пути» и очищаем ее

После запускаем восстановление системы методами Windows или методом с cyberforum где есть много сообщений о подобном вирус

Показать полностью
1 год назад

Эволюция как она есть⁠ ⁠

Порой так интересно наблюдать за эволюцией компьютерных вирусов. Вот так подхватишь какую-то дрянь, начинаешь разбираться и так увлекаешься этим делом, прямо чувствуешь себя Дроздовым. И ведь каждый раз найдешь что-то новенькое, уловки любой ценой защититься от всяких там юзверей.

Немного пояснения: в виду своей деятельности и лени пришлось раскурочать свою винду в решето. Понятно, что никаких антивирусов она и не видела никогда, да и тот же win defender отправлен в вечный сон реестром и гпо, открытая удаленка и вседоверяющий файервол. Никакой адекватной защиты в трёх словах.

Но и соответственно отлов вирусов, в частности майнеров, для меня не в новинку.

История: как-то заметил, что система стала виснуть на ровном месте. Лезем в диспетчер задач загрузка 100% и через секунду 10%. Классика.
Ну, думаю, приключение на 20 минут.
Лезу качать DrWeb cureit. Открываю сайт, браузер крашится. Ага. Знаем, проходили.
Лезем качать ProcessLasso. Любимый softportal, и тут нате переадресация на домен гугла.
Это дело тоже не в новинку: лезем искать файл hosts, и вот тут пошли интересности. А файла-то нету. Тут я списал на свою глупость, что вдруг где-то не там искал, все-равно к тому моменту cureit уже была скачана на ноут и перекинута на шару.
Ставим сканить систему, а параллельно находим ProcessLasso на другом сайте и начинаем выискивать процессы, которые как-то неадекватно кушают ресурсы. Таких оказалось несколько taskhost, который в диспетчере именовался COM Surrogate, audiodg и ещё парочка, которые позже cureit пачкой и почистил.
Что в этом оказалось интересного. При попытке открыть расположение файла происходил краш проводника и диспетчера задач, но во время фриза системы удалось углядеть путь до файла: C:/program data/realtek hd
Лезем туда напрямую, и. папки нет(видимость всех скрытых файлов папок включена). Не отчаиваемся, открываем консоль и пробуем искать оттуда. Все прекрасно видит, и даже позволяет залезть и полистать файлики.

По итогу cureit все почистил. И тут я вспомнил про hosts, полез туда же консолькой и о чудо, файлик-то на месте, открываем, удаляем тонну строк переадресации на 8.8.8.8, сохраняем, заменяем, радуемся жизни.

Позже узнал, что данный вирь сидит в новых репаках от «xatab’a». Что за люди. Ничего святого в них нет.

На этом я думал, что все и порешилось, пока на моих же глазах в систему удаленно не вошёл некий John — скрытая, как позже выяснилось, учетка с правами администратора. Но об этом уже в следующий раз, если кому-то будет это интересно.

Показать полностью
1 год назад

Как избавиться от вируса-майнера?⁠ ⁠

Проблема заключается в том, что где-то раз в плюс-минус 5 минут комп чуток подвисает — идёт 100% загрузка проца и, скорее всего, видюхи, судя по работе её кулера. Ну, и естественно, что эти тормоза не приносят ничего приятного в пользование компом.

Непосредственно перед этим скачком автоматически закрывается диспетчер задач, если он был до этого открыт.

Я пробовал гуглить проблему и вышел на киберфорум, где нашёлся топик со схожими симптомами. Там говорят, что это майнер и советуют скачать AVZ и в нём выполнить некий скрипт. Далее проблема стала за тем, что я просто не смог запустить AVZ, так как после открытия программы она тут же автоматически закрывается. В итоге я запустил её и выполнил скрипт из безопасного режима, однако это вообще ничего не дало.

Тогда я попробовал зарегиться на форуме и создать тему уже непосредственно по своему случаю, но сразу после авторизации браузеры стали автоматически закрываться 🙁

Также пробовал использовать ESET и Avast, но с ними та же беда, что с AVZ: я просто не могу их установить — они закрываются.

Винду переустанавливал месяц назад — это тоже не помогло. Встроенные в винду брандмауэр и защитник у меня если что включены, настройки параметров выдачи уведомлений о вносимых в ОС изменениях тоже включены и ничего не показывают. Кстати, что характерно, загрузка проца и подвисания не такие жёсткие, когда отсутствует доступ к инету.

В общем, я не знаю, что делать и надеюсь, что мне тут подскажут решение этой проблемы.

Кажись, нашёл гадёныша:

В папке C — ProgramData — RealtekHD находится файл taskhostw, который запускает периодически процесс taskhost с описанием COM surrogate!

При попытке зайти в папку место хранения файла папка тут же закрывается.

Гугл выдаёт, что это таки майнер (ситуация вообще 1 в 1 как у меня)

Показать полностью
2 года назад

Случаи из практики 129⁠ ⁠

Мужчина 32 года:

— Скажите, а вы можете упрятать меня в психбольницу? – боязливо спросил мужчина, так крепко удерживая в руках сумку, что у него побелели костяшки пальцев.

— У меня не больше власти чем у обычного гражданина, — совершенно спокойным голосом ответила я. – Так что можете не переживать.

— Это хорошо, — кивнул он, — а то у меня жена и ребенок. Так они могут остаться без кормильца. Плюс, вряд ли босс оставит мне работу после того, как узнает, что меня упрятали в дурку.

— Понимаю… Может быть расскажете, что привело вас ко мне?

— В начале прошлого месяца у меня началась суточная смена – я работаю в службе поддержки одного большого корпоративного продукта. То есть можно спать в ночное время, но если вдруг что-то случится, то мне позвонят и нужно будет быстро найти решение. Работенка не пыльная, платят хорошо, но во время дежурств часто приходится просыпаться посреди ночи и садиться за компьютер. Так что в эти дни я ухожу спать на кухню вместе с ноутбуком, чтобы не мешать жене.

— В ту ночь вы именно так и сделали?

— И очень об этом пожалел… — замогильным голосом произнес он. – Мне позвонил оператор, сказал, что часть клиентов не может получить доступ к некоторым функциям и необходимо что-нибудь придумать. Делать нечего: умылся холодной водой, поставил кофеварку и сел за комп. Где-то через час стало клонить в сон, но я взял себя в руки и доделал задачу, после чего начали происходить странные вещи… Экран замерцал и на нем появилось полупрозрачное женское лицо. От страха я чуть не перевернул стол, отпрыгнул в сторону и снова посмотрел туда. Лицо виднелось поверх всех окон и стало чуть ярче, а потом из динамиков послышался тихий стон и шепот: «Зря ты это сделал». Я попятился назад, но зацепил ногой порожек между кухней и коридором и упал.

— Надеюсь вы ничего не сломали?

— Только набил шишку на голове, — хмыкнул он. – Проснулся только утром, причем на диване, с открытым на столе ноутбуком. И если бы не кровоподтек, то я бы подумал, что это просто такой сон и все. Но в итоге решил, что видимо переработался, стукнулся где-то, а потом на автомате заснул. И все было хорошо ровно три дня, пока у меня по графику снова не наступило дежурство. На этот раз вставать приходилось два раза: в двенадцать и в три ночи.

— Вы снова увидели странное лицо?

— Жуткое мертвенно-бледное женское лицо, — клиента буквально трясло у меня на глазах. – Оно неожиданно появилось на экране и тихо-тихо засмеялось. Меня проняло так, что аж сердце остановилось и тут оно заговорило: «Беги…». Кажется, в этой фразе было еще что-то, но я уже не расслышал, пытаясь как можно быстрее покинуть кухню. Прибежал к жене, разбудил ее, попросил пойти проверить. Она поначалу не поверила и просто отвернулась к стене, но я все не унимался, и она таки встала…

— Ничего, в том то и дело. Короче, я уже не мог работать за ноутбуком, поэтому сел за второй компьютер, подключился и доделал дело. Жену при этом попросил не ложиться без меня. Она только сказала, что мне нужно больше отдыхать или, еще лучше, поехать в отпуск, которого у меня уже давно не было. В итоге мы улеглись, и я до конца ночи не смог сомкнуть глаз.

— После этого это лицо еще появлялось?

— Еще дважды, причем в последний раз я плюнул и остался с женой, чтобы потом работать не на ноутбуке. И что вы думаете – эта тварь добралась до меня и там! Вы представляете?! Я кинулся к жене, растолкал ее, но пока она проснулась – на экране ничего не осталось. Короче, она сказала, что у меня что-то не в порядке с головой и предложила вызвать скорую, но я сразу же отказался, прекрасно понимая к чему это ведет. Если бы меня упекли в психушку, то жена бы осталась одна с дитем на руках. Поэтому-то я и решил для начала пойти к частному специалисту.

— Разумно, — задумчиво сказала я. – Скажите, Георгий – у кого-нибудь из ваших родственников были похожие инциденты? Или может быть психические заболевания?

— Да вроде нет: отец с матерью живы-здоровы, один дедушка умер от инфаркта, второй много пил, обе бабушки дожили до глубокой старости — ничего подозрительного.

— А как дела в семье, дружно ли вы живете?

— Ну, после родов мы с Настей немного отдалились друг от друга, но это нормально – вы же понимаете, ребенок забирает большую часть ее времени.

— А сколько вашему малышу?

— Скоро пять лет, вовсю ходит в садик и даже английский знает лучше меня – настоящий вундеркинд.

— Чем занимается ваша супруга?

— Она домохозяйка, ну еще плетет всякие там ожерелья из бусин и продает через онлайн-магазины, но это не особо прибыльное дело.

— Понимаю… А что насчет работы – много ли стрессовых ситуаций, может быть тяжелый руководитель?

— Нет, нет, Николай – отличный мужик. С коллегами все тоже ровно, мы даже частенько собираемся все вместе – укрепляем коллектив, так сказать.

— То есть, подытожив все вами сказанное – живете вы неплохо, и нет ничего такого, что могло бы вызвать стресс такого размера, что у вас начались галлюцинации?

— Вроде того… И что это может значить?

— Что вам, для начала, нужно обратиться к специалисту по компьютерам – пусть он проверит, нет ли в системе каких-либо вредоносных программ. Только прошу вас, сделайте это незаметно ото всех. Зайдите или позвоните в какую-нибудь контору и попросите все проверить. Помимо этого, вам следует сдать некоторые анализы – существуют прецеденты, когда людям начинали мерещится всякие образы из-за дефицита некоторых веществ. Сейчас я вам все распишу.

— Было бы здорово, если бы всему виной оказался вирус или нехватка витаминов – а то мне через три дня опять на дежурство, а я уже на грани срыва.

— Не волнуйтесь, мы с вами во всем разберемся…

Показать полностью
Поддержать
2 года назад

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть»⁠ ⁠

Для отслеживания подозрительных процессов очень удобен продвинутый менеджер процессов от самой майкрософт, называется ProcessExplorer.

Качается отсюда: https://docs.microsoft.com/en-us/sysinternals/downloads/proc. (сам сайт майкрософта, так что источник безопасен).

После запуска в меню выбираем эти два пункта:

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

И соглашаемся на условия конфиденциальности вирустотала.

Бинго, теперь у вас появится новая колонка в списке процессов, где отображается результат проверки на вирустотале, плюс проверка цифровой подписи запущенного файла. По нажатию на цифры сработки откроется страница вирустотала с отчётом.

ВАЖНО: сами файлы не передаются в вирустотал, он просто ищет там готовые результаты на файл с таким же хешем, так что особо мощный интернет не нужен! Если такого файла найденно не будет, то так и будет написано в данной колонке, и только по нажатию файл будет залит для проверки!

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Так же, из полезных бонусов данной программы:

1) процессы отображаются в виде дерева, то есть вы видите, какими процессами они запущенны (на скрине показал кнопку активации данного режима)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

2) можно вывести графики загрузки (память, проц, диск, видяха итд) для каждого процесса в таблице (правой кнопкой на название колонок, там выбрать пункты с «history» — это и есть графики)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

3) Можно заменить этой программой встроенный менеджер процессов (для этого надо не просто открыть файл из архива, а сохранить его где-нибудь на компе)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

4) продвинутые графики загрузки системы, открываются по нажатию на главный график сверху окна программы

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Надеюсь, кому-то эта информация будет полезна. Сам использую данный инструмент уже лет 8, родной виндовый менеджер уже кажется убогим.

Показать полностью 5
2 года назад

Ответ на пост «Ничего личного.Просто бизнес»⁠ ⁠

Предлагаю список «Коллектор, риэлтор и похоронный агент» — пополнить списком — «Продавец из ДНС «. Это перекуп в квадрате «Пользуется должностным положением (бронирует видяхи ещё до поступления), не выполняет своих обязанностей (не продаёт по цене магазина), портит обычным людям жизнь (перепродаёт видяхи по двойной-тройной цене).

Ответ на пост «Ничего личного.Просто бизнес» Мемы, Дефицит, Видеокарта, Майнеры, Перекупщики, DNS, Компьютер, Ответ на пост

2 года назад

Ответ на пост «Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )»⁠ ⁠

Эхх. где ты раньше был.
Тоже напоролся на этот вирус, пришлось долго мучаться, но всё же смог его удалить.
Если кому поможет, то боролся я с ним так: Пока искал инфу про этот вирус, напоролся на этот сайт: https://it-tehnik.ru/virus/virus-close-browser.html С него я скачал старую версию Касперского. Т.к. сайт не официальный, то вирус его не закрывал. Позже в самом Касперском я обновил его до актуальной версии и просто провёл сканирование и последующую очистку компа.

А теперь немного про сам вирус — это майнер, который весьма хорошо прячется. Как и многие другие вирусы, как только включаешь диспетчер задач, он перестаёт нагружать комп. Но он сам выключает диспетчер задач раз в минуту-две (точное время не засекал). Мой Windows Defender (винда не лицензионная) его практически не засекал. Всё что он находил — один файл, который после удаления он находил снова. и снова. и снова. Можно скачать другой антивирус, но при входе на официальный сайт он просто закрывал браузер. Казалось бы, можно скачать с другого сайта, либо с внешнего носителя, но и тут может выйти облом — этот вирус может не дать открыть некоторые антивирусы, либо не дать им провести проверку.

Может мой способ не самый лучший, но я всё равно хочу его опубликовать, мало ли кому поможет.

2 года назад

Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )⁠ ⁠

Привет пикабушники. Вчера задефал свой ПК от этого злое***его вируса. Гори в аду его создатель.
Хочу поделиться с вами как его обнаружить и удалить. Подойдет для неопытных юзеров.

Итак. Проверяем есть ли он у вас.
Первым делом попробуйте зайти на официальный сайт антивирусов таких как nod32 и касперский. Если не пускает и сбрасывает соединение, значит у вас вирус.
Далее. Открываете диспетчер задач(Ctrl+shift+ESC), сортируете задачи по имени и нажимаете на клаве кнопки NT. Если есть процесс nt kernel system, значит это та самая хрень.
Объясню. Этот вирус скрывается в процессах ненагружая пк когда диспетчер задач открыт.
Как только вы его закроете, он начинает сильно нагружать видеокарту, особенно когда играете. Я лично играл в Varhammer vermintide 2 и там было 30 фпс на ЛЮБЫХ настройках игры.
Когда я запускал диспетчер задач, фпс сразу возрастал до 60.
Если диспетчер будет открыт более пол минуты, вирус сам его закрывает.

У этой дряни есть активная фаза. Когда вы начнете гуглить его название в браузере, или же устанавливать антивирус, он будет всячески мешать. НО его можно в диспетчере на секунд 5-10 отключить клавишей delete. Если попробуете открыть расположение файла процесса, то вас кинет в несуществующую директорию local/realtec HD. Да, он маскируется еще и под драва звука.

Итак, у вас уже горит задний проход. ЧТО ДЕЛАТЬ?!

1. открываете через инкогнито браузер, ищете «доктор веб». Он его детектит.
2.Качаете дока. достаточно демо версии Security Space.
3. Устанавливаете, вызываете диспетчер задач, находите процесс кнопками NT(сортировка по имени) и постоянно удаляете когда он появляется, пока не установите доктора. (диспетчер задач не закроется пока вы будете постоянно удалять этот процесс, их кстати у меня было 2. Это активная фаза вируса)
4. Антивирус попросит перезапустить пк. Подчиняемся.
5. После перезапуска запускаем ярлык на раб столе «сканировать»
6. Ждем.
Готово. Антивирус напишет название файла в котором нашел вирус, у меня это был Auslogic defrag. Дефрагментировал комп называется. И так же он покажет пораженные файлы. Жмем излечить и комп здоров.
Удачи.

Показать полностью
2 года назад

Майнер NT Kernel & System под видом Realtek HD⁠ ⁠

Дело было одним вечером, сижу я значит ничего не заподозрив, понимаю что уж сильно начал шуметь мой компьютер.
Подумал ну Яндекс браузер кушает процессор плюс видео в ютубе, ай да забыл я об этом.

Вдруг 4-ый день этого жёсткого звука меня пробило насквозь. Что-то тут не так.
При запуске компьютер только только появился рабочий стол процессор шумит с видеокартой на максимум.
Беру дело в руки открываю диспетчер для просмотра активности вижу спокойный результат.
Уши не обманешь слышу как кулеры в ПК становятся тише.

АГА ЗНАЧИТ ВОТ ОНО КАК, сразу в голову приходит мысль что тут что-то ведь не ладное.
Открываю я значит программу для просмотра FPS в играх (там ещё показывается температура, нагрузка всех цепей), закрываю диспетчер задач, вижу опа через секунд 15, что процессор что видеокарта идут в разрыв, понимаю что нада копать глубже.

Значит тут понимаю нужно смотреть резко в диспетчере тут опа вижу приложение которое всё кушало — NT Kernel & System, знаю есть такое в виндовсе решил копнуть глубже вижу что данная система отвечает за режим системы. Открыв информацию о нём, решил просмотреть где сидит данный процесс и получаю путь Program Data/Realtek HD

Я понимаю что программа виндовса которая отвечает за прерывание находится в папке с звуковыми драйверами, к тому же она полностью пустая. Вижу как мой диспетчер закрылся сам по себе.

Тут я уже всё понял и знал куда копать начал проверку на вирусы делать, нет ничего абсолютно.
Проверял я Microsoft Defender доверия к нему больше. В итоге 0

ставлю на скачку Dr.Web при установке выдавало ошибку постоянно.

Вирус начал закрывать установщик я психанул открыл диспетчер и просто закрывал этот вирусняк. В общем я установил его он запросил перезагрузку, я с вздохом перезагружаю ПК

Господи он начал сам перезагружаться 6 раз

На 7 выдало ошибку какую-то (жаль нету фоток)
Я с горем пополам вижу справа в углу мою любимую службу которую он заблокировал.

Читатели этого поста не задерживайтесь с проверкой на вирусы..
И берегите свои видеокарты от каких-то тварюк !

Майнер NT Kernel & System под видом Realtek HD Майнеры, Вирус, Компьютер

Майнер NT Kernel & System под видом Realtek HD Майнеры, Вирус, Компьютер

Показать полностью 2
2 года назад

Скрытый майнер⁠ ⁠

Ни для кого не новость, что сейчас все «эти ваши интернеты» кишат вирусами-майнерами. Но зная об этом я всё равно такой где-то как-то словил. А заметил я его деятельность только потому, что он не умел прятаться в диспетчере задач. Естественно он шифровался под системные процессы, но делал это как-то палевно, ибо ну не может процесс GREP (утилита поиска строк) отжирать на 99% процессор. Ну загуглил что это за процесс такой и просто его удалил из системы, ибо мне он не нужен. Но при следующем же запуске этот майнер шифранулся под другим системным процессом, точно уже не помню, что-то связанное со справкой Windows. Ну также загуглил, также удалил из системы и так повторялось раз 5. Пока он не стал шифроваться уже под нужный мне процесс. Здесь я понял что, так до синего экрана доудаляюсь, и решил что-то придумать. Так как систему переустанавливать было в лом, да и слишком много было установлено программ для работы, решил это дело создав простую задачу в планировщике задач Windows. (Система у меня Windows 10, естественно, купленная за пиастры).
Благо если грохнуть процесс за которым прячется майнер, то он не возобновлял свою деятельность до следующей загрузки системы. Скопипастил простой скрипт на завершение процесса, подставил нужный процесс и разместил задание в планировщике, чтобы скрипт срабатывал через три минуты после старта системы (майнер стартовал каждый раз через разное время после пуска винды, но не позднее трёх минут) и вопрос был решён. Стоит оговориться, что перепробовал все типы антизаразы (антивирусы, антималвары и иже с ними, включая загрузочные флешки) и ниодна программа не смогла найти что-то подозрительное.
Ну вопщем жизнь продолжилась, я на коне, «великий победун майнера без переустановки винды».
Но в один прекрасный момент ребёнок сел посмотреть мультики в ютюбе и через пару минут системник просто вырубился. Никакой реакции на кнопку включения. Прохожу все основные этапы «Ничё не понимаю», в материнке остаётся только процессор, но кнопка питания также не оказывает никакого воздействия. И вот только когда я откинул питание процессора, материнка пыталась стартануть, мгновенно покрутив куллерами. Ну у меня сразу два подозрения, либо блок питания, либо материнка (процессор вне подозрения, ибо мировая статистика гласит, что шанс выхода его из строя нуль целых хрен десятых). Проверяю бп на рабочей системе, всё окай. Остаётся материнка. Тащу на работу админам мать и проц. Выясняется, что именно проц и накрылся (второй раз мне так везёт, причём первый раз amd 6000+ накрылся много веков назад, в этот раз Intel i5 4570). Ну делать нечего, наконец-то решаюсь перейти на Рязань. Собрал систему, винду не переустанавливал. Ну и естественно после перехода с 4х ядер на 6 двухпоточных, захотелось помериться пипирками с друзьями. Первым делом запускаю Aida64 и врубаю оверлей на температуру и загрузку процессора и немного прифигеваю. Только что я запускал тяжёлую игру и через диспетчер задач процессор грузился максимум на 7%. А тут я на рабочем столе, в фоне ничего не запущено, а аидовский оверлей мне показывает загрузку процессора 100% и температуру под 90 градусов! Открываю диспетчер задач, аидовский оверлей моментально показывает 1% загрузки и температура падает до 40 градусов. Закрываю диспетчер задач, нагрузка моментально 100%. Ради интереса попробовал несколько сторонних диспетчеров задач, история повторялась. В общем у меня был ещё один майнер, но уже по умнее другого. Он вообще не палился любым диспетчером. Но почему-то спалился именно аидой. Видимо эта тварь мне постоянно насиловала процессор и он в итоге сгорел. Остаётся загадкой какого хрена проц не тротлил или не вырубился по защите от перегрева? Ну и естественно проц забрал с собой на тот свет один канал оперативной памяти. Саму оперативку пока нет возможности проверить. В итоге винду всё-таки пришлось переустановить. И ещё есть подозрение, что майнер был подхвачен через те самые пиастры за которые «приобреталась» windows (но это не точно). Аиду поставил в автозагрузку. Надеюсь моя статья кому-нибудь спасёт процессор. Всем бобра!
P. S. Извиняюсь за велик и могуч русская языка!

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *