Как удалить майнер маскирующийся под Realtek HD

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
25,141
Решения
5
Реакции
13,725
Майнер - это программа, которая использует ресурсы компьютера для добычи криптовалюты и зачастую устанавливается вредоносным ПО без ведома пользователя. Он может причинить серьезный ущерб системе из-за перегрева компонентов, снизить ее производительность и повысить расход электроэнергии.

Описание вредоносного ПО.​

Является комплексом логически взаимосвязанных файлов. Практически не маскирует себя в системе, опираясь больше на агрессивные методы закрепления в системе и противодействия своему удалению.

Пути заражения.​

Установка программного обеспечения, игр, активаторов, бесплатных программ, скачанных из ненадёжных источников. Наиболее "любимый" путь распространения - это варез и нелицензионные игры. При том, что были инциденты, когда майнер распространялся через репаки FitGirl и/или распространялся на известных торрент трекерах. В общем, такая вот лотерея для любителей "бесплатного софта".

Элементы маскировки.​

Один из немногих вариантов маскировки, который можно отдельно отметить - это использование файлов taskhost.exe и taskhostw.exe, имена которых совпадают с именами легитимных файлов Windows, но расположены в других папках. Также использование процесса Realtek HD - попытка скрыться за Realtek High Definition, который в свою очередь является официальной версией бесплатного пакета драйверов, предназначенного для корректного воспроизведения аудиофайлов для операционных систем Microsoft Windows.

Типовые симптомы.​

  1. Блокирует доступ к некоторым сайтам при помощи добавления записей в hosts, что позволяет перенаправить запрос на несуществующий IP адрес. В списке в основном сайты, которые могут помочь с удалением данного вредоносного ПО. Это не единственная методика блокирования ссылок. Основные симптомы: некоторые страницы не открываются или при клике на ссылку браузер закрывается.
    8.8.8.8 codeload.github.com
    8.8.8.8 support.kaspersky.ru
    8.8.8.8 kaspersky.ru
    8.8.8.8 virusinfo.info
    8.8.8.8 forum.kasperskyclub.ru
    8.8.8.8 cyberforum.ru
    8.8.8.8 soft-file.ru
    8.8.8.8 360totalsecurity.com
    8.8.8.8 cezurity.com
    8.8.8.8 www.dropbox.com
    8.8.8.8 193.228.54.23
    8.8.8.8 spec-komp.com
    8.8.8.8 eset.ua
    8.8.8.8 regist.safezone.cc
    8.8.8.8 programki.net
    8.8.8.8 safezone.cc
    8.8.8.8 www.esetnod32.ru
    8.8.8.8 www.comss.ru
    8.8.8.8 forum.oszone.net
    8.8.8.8 blog-pc.ru
    8.8.8.8 securrity.ru
    8.8.8.8 norton.com
    8.8.8.8 vellisa.ru
    8.8.8.8 download-software.ru
    8.8.8.8 drweb-cureit.ru
  2. Создает специально сконфигурированные папки с именами, которые используют для работы некоторые антивирусы и утилиты лечения, а так же работу другого ПО (в том числе конкурентное вредоносное ПО). Это позволяет майнеру заблокировать их работу или установку на зараженной системе.
    SHD C:\FRST
    SHD C:\Program Files\Malwarebytes
    SHD C:\Users\roman\Downloads\AV_block_remover
    SHD C:\Users\roman\Downloads\AutoLogger
    SHD C:\Users\roman\Desktop\AV_block_remover
    SHD C:\Users\roman\Desktop\AutoLogger
    SHD C:\ProgramData\WavePad
    SHD C:\ProgramData\RobotDemo
    SHD C:\ProgramData\PuzzleMedia
    SHD C:\ProgramData\Norton
    SHD C:\ProgramData\McAfee
    SHD C:\ProgramData\Kaspersky Lab Setup Files
    SHD C:\ProgramData\Kaspersky Lab
    SHD C:\ProgramData\grizzly
    SHD C:\ProgramData\FingerPrint
    SHD C:\ProgramData\Evernote
    SHD C:\ProgramData\ESET
    SHD C:\ProgramData\Doctor Web
    SHD C:\ProgramData\BookManager
    SHD C:\ProgramData\AVAST Software
    SHD C:\ProgramData\360safe
    SHD C:\Program Files\Transmission
    SHD C:\Program Files\SUPERAntiSpyware
    SHD C:\Program Files\SpyHunter
    SHD C:\Program Files\RogueKiller
    SHD C:\Program Files\Ravantivirus
    SHD C:\Program Files\Rainmeter
    SHD C:\Program Files\Process Lasso
    SHD C:\Program Files\Process Hacker 2
    SHD C:\Program Files\Loaris Trojan Remover
    SHD C:\Program Files\Kaspersky Lab
    SHD C:\Program Files\HitmanPro
    SHD C:\Program Files\ESET
    SHD C:\Program Files\EnigmaSoft
    SHD C:\Program Files\Enigma Software Group
    SHD C:\Program Files\DrWeb
    SHD C:\Program Files\COMODO
    SHD C:\Program Files\Common Files\McAfee
    SHD C:\Program Files\Common Files\Doctor Web
    SHD C:\Program Files\Common Files\AV
    SHD C:\Program Files\Cezurity
    SHD C:\Program Files\ByteFence
    SHD C:\Program Files\Bitdefender Agent
    SHD C:\Program Files\AVG
    SHD C:\Program Files\AVAST Software
    SHD C:\Program Files (x86)\Transmission
    SHD C:\Program Files (x86)\SpyHunter
    SHD C:\Program Files (x86)\SpeedFan
    SHD C:\Program Files (x86)\Panda Security
    SHD C:\Program Files (x86)\Moo0
    SHD C:\Program Files (x86)\Kaspersky Lab
    SHD C:\Program Files (x86)\IObit
    SHD C:\Program Files (x86)\GRIZZLY Antivirus
    SHD C:\Program Files (x86)\Cezurity
    SHD C:\Program Files (x86)\AVG
    SHD C:\Program Files (x86)\AVAST Software
    SHD C:\Program Files (x86)\360
    SHD C:\KVRT2020_Data
    SHD C:\AdwCleaner
    SHD C:\ProgramData\Malwarebytes
    SHD C:\ProgramData\MB3Install
    SHD C:\Program Files\7-Zip
    SHD C:\Program Files (x86)\Microsoft JDX
    SHD C:\KVRT_Data
  3. Пытается заблокировать работу Защитника Windows (Windows defender), добавляя в реестр записи, которые должны блокировать работу антивируса.
    Код:
    [HKEY_LOCAL_MACHINE\SOFTWARE\SOFTWARE\Policies\Microsoft\Windows Defender]
    "DisableAntiSpyware"=dword:00000001
    "DisableRoutinelyTakingAction"=dword:00000001
    "DisableAntiVirus"=dword:00000001
    "AllowFastServiceStartup"=dword:00000000

    И добавляет в список исключений антивируса принадлежащие зловреду файлы:
    Код:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
    "C:\\Users\\user\\Desktop\\KMSAuto++ Portable v1.7.9\\KMSAutoInstall.exe"=dword:00000000
    "C:\\Users\\user\\Desktop\\KMSAuto++ Portable v1.7.9\\KMSAuto_Files"=dword:00000000
    "C:\\Windows\\System32\\SECOPatcher.dll"=dword:00000000
    "C:\\Users\\user\\AppData\\Local\\Temp\\dControl.exe"=dword:00000000
    "C:\\ProgramData\\WindowsTask\\AMD.exe"=dword:00000000
    "C:\\ProgramData"=dword:00000000
    "C:\\ProgramData\\ReaItekHD\\taskhostw.exe"=dword:00000000
    "C:\\ProgramData\\ReaItekHD\\taskhost.exe"=dword:00000000
    "C:\\Windows\\SysWow64\\unsecapp.exe"=dword:00000000
    "C:\\Program Files\\RDP Wrapper"=dword:00000000
    "C:\\ProgramData\\WindowsTask\\audiodg.exe"=dword:00000000
    "C:\\ProgramData\\WindowsTask\\AppModule.exe"=dword:00000000
  4. Использует функционал ОС для блокировки запуска программ по имени файла (DisallowRun)
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
    O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [26] = KVRT(1).exe
  5. Применяет (если позволяет редакция ОС) политики AppLocker, чтобы ограничить запуск определенных приложений по пути или хешу.
  6. Создает учетную запись с именем John на компьютере жертвы, которая имеет права администратора и может использоваться как один из способов удаленного доступа к системе пользователя. Это может позволить злоумышленнику контролировать компьютер жертвы, устанавливать другие вредоносные программы или красть личные (и финансовые) данные. На сколько активно автор злоупотребляет удаленным доступом, сказать сложно, но после лечения лучше сменить все важные пароли.
  7. Отправляет на сервер злоумышленника подробные данные о компьютере жертвы, его расположении (по IP). А так-же делает и отправляет скриншот рабочего стола в момент заражения системы.

Удаление майнера и восстановление работы компьютера:​

Если вы хотите удалить это вредоносное ПО и восстановить работоспособность компьютера, вы можете использовать специально подготовленную утилиту AV block remover. Эта утилита автоматически находит и удаляет файлы и записи реестра, связанные с этим вредоносным ПО.

Описание утилиты​

AV block remover (AVbr) — скрипт на базе антивирусной утилиты AVZ, позволяющий удалить из системы майнер, который блокирует установку и работу антивирусов и доступ к антивирусным сайтам. Скрипт был создан для удаления одного конкретного майнера. Обновляется ежедневно.

Возможности AV block remover:​

  • Удаление файлов и заданий созданных майнером.
  • Снятие ограничений на запуск файлов, блокировки сайтов.
  • Восстановление работоспособности антивирусных продуктов, если такая имеется.
  • Восстановление повреждённых или удаленных системные настройки, в частности воссоздаёт удалённую майнером службу "Программный поставщик теневого копирования (Microsoft)".

Инструкция по работе с AV block remover.​

  • Скачайте архив с утилитой по одной из этих ссылок: AV block remover или с зеркала.
  • Распакуйте архив в любую папку на вашем компьютере (исполняемый файл должен лежать в подпапке со случайным именем, а не на Рабочем столе или в папке Загрузки).
  • Переименуйте файл AVBR.exe (Например: AV_b_r.exe), или воспользуйтесь версией со случайным именем файла
  • Запустите переименованный файл AVBR.exe от имени администратора.
  • Дождитесь окончания работы утилиты, компьютер будет перезагружен автоматически.
  • В папке с утилитой будет создан файл AV_block_remove_дата-время.log. Если обратитесь на форум за помощью, прикрепите его в теме.
После перезагрузки ваш компьютер должен быть очищен от блокировки антивирусных программ. Вы можете проверить это, попытавшись запустить любую антивирусную программу или сканер.

В связи с тем, что автор майнера активно отслеживает форумы лечения и активно вносит изменения в свое изделие, то успешность удаления мы не можем гарантировать на 100%. Если симптомы не пропали (а даже если пропали) рекомендуется обратиться в раздел лечения на форуме. Не забудьте подготовить архив с логами для анализа системы и прикрепить файл (или файлы, если запусков было несколько) AV_block_remove_дата-время.log
 
Последнее редактирование:
Я вот подумал тут, если AV block remover это скрипт на базе антивирусной утилиты AVZ, почему не собрать несколько таких скриптов, я к тому, что темы создаются аналогичные, тело вируса по сути одно и тоже, а тут просто по проявлению заразы подобрал для себя скрип, скачал и выполнил, не надо тему создавать и хелпирам не надо постоянно писать скрипт
Понятно, что следы подтирать приходиться, но основная работа будет выполнена самим пользователем при запуске уже заготовленного скрипта.
Если оффтоп соран, если уже обсуждалось сорян.
Понимаю, что вопрос от дилетанта, но все же интересно
 
@VexMD,
но я не много другое имею в веду, это против майнера, а с другими вирусами, по сути они же прописывают себя в известных ветках, но возможно есть какие то обучающиеся, которые могут прописать себя по рендомному пути, но все же скрипт может подойти ко многим системам и ПК, раньше во время консультации хелперы писали "что рекомендация для этого пользователя, и не пробуйте ее у себя на компе", что то в таком роде, то есть этот скрипт может навредить другой системе, но все же есть такие вирусы которые можно удалять одним скриптом (универсальным), как AV block remover, сам лично пользовался им, когда словил майнер, вот он же ко всем подходит, понятно, что вирусы будет всегда впереди на шаг, но так же можно добавлять пару строчек в скрипт, как делают антивирусные компании( аналог такой же)
Я могу ошибаться, по этому и написал тут, для само развития
 
Я вот подумал тут, если AV block remover это скрипт на базе антивирусной утилиты AVZ, почему не собрать несколько таких скриптов, я к тому, что темы создаются аналогичные, тело вируса по сути одно и тоже, а тут просто по проявлению заразы подобрал для себя скрип, скачал и выполнил, не надо тему создавать и хелпирам не надо постоянно писать скрипт
не та тема, вот нужная AV block remover (AVbr)

Только нужно будет ее прочесть, подобный вопрос уже был (вроде).
 
@VexMD,
но я не много другое имею в веду, это против майнера, а с другими вирусами, по сути они же прописывают себя в известных ветках, но возможно есть какие то обучающиеся, которые могут прописать себя по рендомному пути, но все же скрипт может подойти ко многим системам и ПК, раньше во время консультации хелперы писали "что рекомендация для этого пользователя, и не пробуйте ее у себя на компе", что то в таком роде, то есть этот скрипт может навредить другой системе, но все же есть такие вирусы которые можно удалять одним скриптом (универсальным), как AV block remover, сам лично пользовался им, когда словил майнер, вот он же ко всем подходит, понятно, что вирусы будет всегда впереди на шаг, но так же можно добавлять пару строчек в скрипт, как делают антивирусные компании( аналог такой же)
Я могу ошибаться, по этому и написал тут, для само развития
1) Писать универсальный скрипт имеет в случае только "эпидемии". А когда каждый день разные вирусы, а последнее время вообще чаще адварь, то смысла в таком скрипте нет. Когда раньше были подобные эпидемии, то порой такие скрипты писались.
2) Любой скрипт из раздела лечения (если только он не был специально составлен как универсальный, о чём обычно есть пометка в самом скрипте) нельзя выполнять другим пользователям. Про это написано в правилах лечения и для ССЗБ которые не читают правила в каждой теме просто нет смысла. В лучшем случае он будет бесполезен, т.к. в скрипте пишутся команды с указанием абсолютного пути, то есть там указано имя пользователя и т.д. и таких путей просто на другой системе не будет. Кроме того хелпер анализирует набор установленного ПО и много чего другого и пишет скрипт под конкретную систему, поэтому на другой он может навредить.
 
@regist,
По поводу путей понятно, у всех надо проводить исследование системы после этого писать лог( это как в больнице сдать анализы и поставить диагноз и лечить), но AV block remover к примеру убивает пользователя john и чистит файл hosts, то есть это все находиться по известному пути, об майнере я узнал до того как его словил, это и была пандемия?
То есть другими словами: почему не возможно собрать скрипт "таблетку"
К примеру, у меня закрывается баузер, вылетает сообщение от защитника там к примеру обнаружена угроза "promu. exe", я захожу на сайт по симптомам качаю "таблетку", провожу лечение, после создается ЛОГ я его передаю хелпирам, хелперы помогают убрать следы
Ну вот я про это, я понимаю, что под все вирусы просто реально не возможно написать скрипт, но все же
 
@regist,
По поводу путей понятно, у всех надо проводить исследование системы после этого писать лог( это как в больнице сдать анализы и поставить диагноз и лечить), но AV block remover к примеру убивает пользователя john и чистит файл hosts, то есть это все находиться по известному пути, об майнере я узнал до того как его словил, это и была пандемия?
То есть другими словами: почему не возможно собрать скрипт "таблетку"
К примеру, у меня закрывается баузер, вылетает сообщение от защитника там к примеру обнаружена угроза "promu. exe", я захожу на сайт по симптомам качаю "таблетку", провожу лечение, после создается ЛОГ я его передаю хелпирам, хелперы помогают убрать следы
Ну вот я про это, я понимаю, что под все вирусы просто реально не возможно написать скрипт, но все же
вылетает сообщение от защитника там к примеру обнаружена угроза "promu. exe",
1) У скольких людей ещё есть этот вирус? Скорее всего только у вас одного. Писать универсальный скрипт ради одного единственного случая... то есть уже по определению пока напишешь этот скрипт будет уже не актуален ибо больше никому он не понадобится.
2) Возьмём теперь более реальный и популярный случай. Защитник ругается на Wacatac. MS так обзывает чуть-ли не всё подряд, не так давно (а может и до сих) он так даже 7-zip обозвал на что Павлов жаловался и просил помощи у сообщества, что может кто знает как сделать чтобы не ругался ))). Так что в таком случае лечить по такому описанию?
3) А просто скрипты-таблетки по элементарным операциям типа очистки hosts и т.д. и так давно есть готовые в том же AVZ в списке скриптов восстановления.
4) >об майнере я узнал до того как его словил, это и была пандемия?
Этот вирь уже несколько лет в топе тем запросов о лечении. Так что в прошедшем времени про него говорить пока рано.
 
Обновил пункт 7
 
1) вирус сам презагружает комп
2) вирус делает откат пк(т.е если сохранить файл в ворд(к примеру(это не важно где сохр)) мы сохраняем файд на рабочий стол, и делаем перезагрузку пк, то пк у нас делает откат на какое то определенное место. даже к примеру если поставить громкость 95, то при пезазагрузке пк сделает сам громкость 48
Грубо говоря у пк появилась точка отсчета, на которую он постоянно делает откат на перезагрузке
Ну и при скачивании антивирусника под конец скачки комп делает перезагрузку.
ну в общем и целом комп сам перезагружается и делает откат при каждой перезагрузке
что касается файла ворд( при откате назад, он этот новый файл удаляет)
 
Даниил, всё написанное Вами - бред сивой кобылы.
Заместо того , что вы пишите , мол это бред , могли годное что-то написать , я же тоже ерундой не страдаю. Если бы этого не было , я бы и не писал. А так , зачем мне придумывать то. Не несите чушь
 
Вот именно: не несите чушь. Майнеры подобным не занимаются.
 
1) вирус сам презагружает комп
2) вирус делает откат пк(т.е если сохранить файл в ворд(к примеру(это не важно где сохр)) мы сохраняем файд на рабочий стол, и делаем перезагрузку пк, то пк у нас делает откат на какое то определенное место. даже к примеру если поставить громкость 95, то при пезазагрузке пк сделает сам громкость 48
Грубо говоря у пк появилась точка отсчета, на которую он постоянно делает откат на перезагрузке
Ну и при скачивании антивирусника под конец скачки комп делает перезагрузку.
ну в общем и целом комп сам перезагружается и делает откат при каждой перезагрузке
что касается файла ворд( при откате назад, он этот новый файл удаляет)
Есть программы которые подобное делают, но этот майнер подобное не делает. Да и вообще вроде из вирусов подобное никто не делает.
А если вам нужна помощь, то Правила оформления запроса о помощи
 
@akok Предлагаю тему закрыть - не для обсуждений. Это информационная инструкция , где как и что по чем . Все претензий , в другую тему . Рекомендую почистить тему.. Дабы не засорять чатик , как раз вы сделал отличную инструкцию... Ценю этот тему для лечений...
 
Последнее редактирование:
Не стоит, если бы хотели создать раздел инструкций, то так бы и сделали.
 
Назад
Сверху Снизу