- Сообщения
- 25,463
- Решения
- 10
- Реакции
- 13,905
Майнер - это программа, которая использует ресурсы компьютера для добычи криптовалюты и зачастую устанавливается вредоносным ПО без ведома пользователя. Он может причинить серьезный ущерб системе из-за перегрева компонентов, снизить ее производительность и повысить расход электроэнергии.
В связи с тем, что автор майнера активно отслеживает форумы лечения и активно вносит изменения в свое изделие, то успешность удаления мы не можем гарантировать на 100%. Если симптомы не пропали (а даже если пропали) рекомендуется обратиться в раздел лечения на форуме. Не забудьте подготовить архив с логами для анализа системы и прикрепить файл (или файлы, если запусков было несколько) AV_block_remove_дата-время.log
Описание вредоносного ПО.
Является комплексом логически взаимосвязанных файлов. Практически не маскирует себя в системе, опираясь больше на агрессивные методы закрепления в системе и противодействия своему удалению.Пути заражения.
Установка программного обеспечения, игр, активаторов, бесплатных программ, скачанных из ненадёжных источников. Наиболее "любимый" путь распространения - это варез и нелицензионные игры. При том, что были инциденты, когда майнер распространялся через репаки FitGirl и/или распространялся на известных торрент трекерах. В общем, такая вот лотерея для любителей "бесплатного софта".Элементы маскировки.
Один из немногих вариантов маскировки, который можно отдельно отметить - это использование файлов taskhost.exe и taskhostw.exe, имена которых совпадают с именами легитимных файлов Windows, но расположены в других папках. Также использование процесса Realtek HD - попытка скрыться за Realtek High Definition, который в свою очередь является официальной версией бесплатного пакета драйверов, предназначенного для корректного воспроизведения аудиофайлов для операционных систем Microsoft Windows.
Типовые симптомы.
- Блокирует доступ к некоторым сайтам при помощи добавления записей в hosts, что позволяет перенаправить запрос на несуществующий IP адрес. В списке в основном сайты, которые могут помочь с удалением данного вредоносного ПО. Это не единственная методика блокирования ссылок. Основные симптомы: некоторые страницы не открываются или при клике на ссылку браузер закрывается.
8.8.8.8 codeload.github.com
8.8.8.8 support.kaspersky.ru
8.8.8.8 kaspersky.ru
8.8.8.8 virusinfo.info
8.8.8.8 forum.kasperskyclub.ru
8.8.8.8 cyberforum.ru
8.8.8.8 soft-file.ru
8.8.8.8 360totalsecurity.com
8.8.8.8 cezurity.com
8.8.8.8 www.dropbox.com
8.8.8.8 193.228.54.23
8.8.8.8 spec-komp.com
8.8.8.8 eset.ua
8.8.8.8 regist.safezone.cc
8.8.8.8 programki.net
8.8.8.8 safezone.cc
8.8.8.8 www.esetnod32.ru
8.8.8.8 www.comss.ru
8.8.8.8 forum.oszone.net
8.8.8.8 blog-pc.ru
8.8.8.8 securrity.ru
8.8.8.8 norton.com
8.8.8.8 vellisa.ru
8.8.8.8 download-software.ru
8.8.8.8 drweb-cureit.ru - Создает специально сконфигурированные папки с именами, которые используют для работы некоторые антивирусы и утилиты лечения, а так же работу другого ПО (в том числе конкурентное вредоносное ПО). Это позволяет майнеру заблокировать их работу или установку на зараженной системе.
SHD C:\FRST
SHD C:\Program Files\Malwarebytes
SHD C:\Users\roman\Downloads\AV_block_remover
SHD C:\Users\roman\Downloads\AutoLogger
SHD C:\Users\roman\Desktop\AV_block_remover
SHD C:\Users\roman\Desktop\AutoLogger
SHD C:\ProgramData\WavePad
SHD C:\ProgramData\RobotDemo
SHD C:\ProgramData\PuzzleMedia
SHD C:\ProgramData\Norton
SHD C:\ProgramData\McAfee
SHD C:\ProgramData\Kaspersky Lab Setup Files
SHD C:\ProgramData\Kaspersky Lab
SHD C:\ProgramData\grizzly
SHD C:\ProgramData\FingerPrint
SHD C:\ProgramData\Evernote
SHD C:\ProgramData\ESET
SHD C:\ProgramData\Doctor Web
SHD C:\ProgramData\BookManager
SHD C:\ProgramData\AVAST Software
SHD C:\ProgramData\360safe
SHD C:\Program Files\Transmission
SHD C:\Program Files\SUPERAntiSpyware
SHD C:\Program Files\SpyHunter
SHD C:\Program Files\RogueKiller
SHD C:\Program Files\Ravantivirus
SHD C:\Program Files\Rainmeter
SHD C:\Program Files\Process Lasso
SHD C:\Program Files\Process Hacker 2
SHD C:\Program Files\Loaris Trojan Remover
SHD C:\Program Files\Kaspersky Lab
SHD C:\Program Files\HitmanPro
SHD C:\Program Files\ESET
SHD C:\Program Files\EnigmaSoft
SHD C:\Program Files\Enigma Software Group
SHD C:\Program Files\DrWeb
SHD C:\Program Files\COMODO
SHD C:\Program Files\Common Files\McAfee
SHD C:\Program Files\Common Files\Doctor Web
SHD C:\Program Files\Common Files\AV
SHD C:\Program Files\Cezurity
SHD C:\Program Files\ByteFence
SHD C:\Program Files\Bitdefender Agent
SHD C:\Program Files\AVG
SHD C:\Program Files\AVAST Software
SHD C:\Program Files (x86)\Transmission
SHD C:\Program Files (x86)\SpyHunter
SHD C:\Program Files (x86)\SpeedFan
SHD C:\Program Files (x86)\Panda Security
SHD C:\Program Files (x86)\Moo0
SHD C:\Program Files (x86)\Kaspersky Lab
SHD C:\Program Files (x86)\IObit
SHD C:\Program Files (x86)\GRIZZLY Antivirus
SHD C:\Program Files (x86)\Cezurity
SHD C:\Program Files (x86)\AVG
SHD C:\Program Files (x86)\AVAST Software
SHD C:\Program Files (x86)\360
SHD C:\KVRT2020_Data
SHD C:\AdwCleaner
SHD C:\ProgramData\Malwarebytes
SHD C:\ProgramData\MB3Install
SHD C:\Program Files\7-Zip
SHD C:\Program Files (x86)\Microsoft JDX
SHD C:\KVRT_Data - Пытается заблокировать работу Защитника Windows (Windows defender), добавляя в реестр записи, которые должны блокировать работу антивируса.
Код:[HKEY_LOCAL_MACHINE\SOFTWARE\SOFTWARE\Policies\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000001 "DisableRoutinelyTakingAction"=dword:00000001 "DisableAntiVirus"=dword:00000001 "AllowFastServiceStartup"=dword:00000000
И добавляет в список исключений антивируса принадлежащие зловреду файлы:
Код:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths] "C:\\Users\\user\\Desktop\\KMSAuto++ Portable v1.7.9\\KMSAutoInstall.exe"=dword:00000000 "C:\\Users\\user\\Desktop\\KMSAuto++ Portable v1.7.9\\KMSAuto_Files"=dword:00000000 "C:\\Windows\\System32\\SECOPatcher.dll"=dword:00000000 "C:\\Users\\user\\AppData\\Local\\Temp\\dControl.exe"=dword:00000000 "C:\\ProgramData\\WindowsTask\\AMD.exe"=dword:00000000 "C:\\ProgramData"=dword:00000000 "C:\\ProgramData\\ReaItekHD\\taskhostw.exe"=dword:00000000 "C:\\ProgramData\\ReaItekHD\\taskhost.exe"=dword:00000000 "C:\\Windows\\SysWow64\\unsecapp.exe"=dword:00000000 "C:\\Program Files\\RDP Wrapper"=dword:00000000 "C:\\ProgramData\\WindowsTask\\audiodg.exe"=dword:00000000 "C:\\ProgramData\\WindowsTask\\AppModule.exe"=dword:00000000
- Использует функционал ОС для блокировки запуска программ по имени файла (DisallowRun)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [14] = KVRT.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [15] = cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [16] = FRST64.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [17] = eset_internet_security_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [18] = esetonlinescanner.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [19] = eset_nod32_antivirus_live_installer.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [20] = MBSetup.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [21] = PANDAFREEAV.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [22] = bitdefender_avfree.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [23] = drweb-12.0-ss-win.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [24] = Cureit.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [25] = TDSSKiller.exe
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [26] = KVRT(1).exe - Применяет (если позволяет редакция ОС) политики AppLocker, чтобы ограничить запуск определенных приложений по пути или хешу.
- Создает учетную запись с именем John на компьютере жертвы, которая имеет права администратора и может использоваться как один из способов удаленного доступа к системе пользователя. Это может позволить злоумышленнику контролировать компьютер жертвы, устанавливать другие вредоносные программы или красть личные (и финансовые) данные. На сколько активно автор злоупотребляет удаленным доступом, сказать сложно, но после лечения лучше сменить все важные пароли.
- Отправляет на сервер злоумышленника подробные данные о компьютере жертвы, его расположении (по IP). А так-же делает и отправляет скриншот рабочего стола в момент заражения системы.
Удаление майнера и восстановление работы компьютера:
Если вы хотите удалить это вредоносное ПО и восстановить работоспособность компьютера, вы можете использовать специально подготовленную утилиту AV block remover. Эта утилита автоматически находит и удаляет файлы и записи реестра, связанные с этим вредоносным ПО.Описание утилиты
AV block remover (AVbr) — скрипт на базе антивирусной утилиты AVZ, позволяющий удалить из системы майнер, который блокирует установку и работу антивирусов и доступ к антивирусным сайтам. Скрипт был создан для удаления одного конкретного майнера. Обновляется ежедневно.Возможности AV block remover:
- Удаление файлов и заданий созданных майнером.
- Снятие ограничений на запуск файлов, блокировки сайтов.
- Восстановление работоспособности антивирусных продуктов, если такая имеется.
- Восстановление повреждённых или удаленных системные настройки, в частности воссоздаёт удалённую майнером службу "Программный поставщик теневого копирования (Microsoft)".
Инструкция по работе с AV block remover.
- Скачайте архив с утилитой по одной из этих ссылок: AV block remover или с зеркала.
- Распакуйте архив в любую папку на вашем компьютере (исполняемый файл должен лежать в подпапке со случайным именем, а не на Рабочем столе или в папке Загрузки).
- Переименуйте файл AVBR.exe (Например: AV_b_r.exe), или воспользуйтесь версией со случайным именем файла
- Запустите переименованный файл AVBR.exe от имени администратора.
- Дождитесь окончания работы утилиты, компьютер будет перезагружен автоматически.
- В папке с утилитой будет создан файл AV_block_remove_дата-время.log. Если обратитесь на форум за помощью, прикрепите его в теме.
В связи с тем, что автор майнера активно отслеживает форумы лечения и активно вносит изменения в свое изделие, то успешность удаления мы не можем гарантировать на 100%. Если симптомы не пропали (а даже если пропали) рекомендуется обратиться в раздел лечения на форуме. Не забудьте подготовить архив с логами для анализа системы и прикрепить файл (или файлы, если запусков было несколько) AV_block_remove_дата-время.log
Последнее редактирование: