SafeZone - Форум бесплатной помощи
Вернуться на форум
Switch to English
Переключитися на українську
Это упрощенная авторская версия статьи расположенная, на форуме
Как удалить майнер маскирующийся под Realtek HD: описание вредоносного ПО и руководство по удалению
Введение.
Майнер - это программа, которая использует ресурсы компьютера для добычи криптовалюты и зачастую устанавливается вредоносным ПО без ведома пользователя. Он может причинить серьезный ущерб системе из-за перегрева компонентов, снизить ее производительность и повысить расход электроэнергии.
Описание вредоносного ПО
Является комплексом логически взаимосвязанных файлов. Практически не маскирует себя в системе, опираясь больше на агрессивные методы закрепления в системе и противодействия своему удалению.
Пути заражения
Установка программного обеспечения, игр, активаторов, бесплатных программ, скачанных из ненадёжных источников. Наиболее "любимый" путь распространения - это варез и нелицензионные игры. При том, что были инциденты, когда майнер распространялся через репаки Fitgirl и/или распространялся на известных торрент трекерах. В общем, такая вот лотерея для любителей "бесплатного софта".
- Использование файлов taskhost.exe и taskhostw.exe, имена которых совпадают с именами легитимных файлов Windows, но расположены в других папках.
- Использование процесса Realtek HD - попытка скрыться за Realtek High Definition, который в свою очередь является официальной версией бесплатного пакета драйверов, предназначенного для корректного воспроизведения аудиофайлов для операционных систем Microsoft Windows.
Типовые симптомы
- Блокирует доступ к некоторым сайтам при помощи добавления записей в файле hosts, что позволяет перенаправить запрос на несуществующий IP адрес. В списке в основном сайты, которые могут помочь с удалением данного вредоносного ПО. Это не единственная методика блокирования ссылок. Основные симптомы: некоторые страницы не открываются или при клике на ссылку браузер закрывается.
- Создает специально сконфигурированные папки с именами, которые используют для работы некоторые антивирусы и утилиты лечения, а также работу другого ПО (в том числе конкурентное вредоносное ПО).
- Пытается заблокировать работу Защитника Windows (Windows defender), добавляя в реестр записи, которые должны блокировать работу антивируса.
- И добавляет в список исключений антивируса принадлежащие зловреду файлы.
- Использует функционал ОС для блокировки запуска программ по имени файла (DisallowRun).
- Применяет (если позволяет редакция ОС) политики AppLocker, чтобы ограничить запуск определенных приложений по пути или хешу.
- Создает учетную запись с именем John на компьютере жертвы, которая имеет права администратора и может использоваться как один из способов удаленного доступа к системе пользователя.
- Отправляет на сервер злоумышленника подробные данные о компьютере жертвы, его расположении (по IP).
Удаление майнера и восстановление работы компьютера
Если вы хотите удалить это вредоносное ПО и восстановить работоспособность компьютера, вы можете использовать специально подготовленную утилиту AV block remover. Эта утилита автоматически находит и удаляет файлы и записи реестра, связанные с этим вредоносным ПО.
Описание утилиты AV block remover
AV block remover (AVbr) — скрипт на базе антивирусной утилиты AVZ, позволяющий удалить из системы майнер, который блокирует установку и работу антивирусов и доступ к антивирусным сайтам. Скрипт был создан для удаления одного конкретного майнера. Обновляется ежедневно.
Возможности AV block remover
- Удаление файлов и заданий, созданных майнером.
- Снятие ограничений на запуск файлов и блокировки сайтов.
- Восстановление работоспособности антивирусных продуктов, если такая имеется.
- Восстановление повреждённых или удаленных системных настроек, в частности воссоздаёт удалённую майнером службу "Программный поставщик теневого копирования (Microsoft)".
Инструкция по работе с AV block remover
- Скачайте архив с утилитой по одной из этих ссылок: AV block remover или с зеркала.
- Распакуйте архив в любую папку на вашем компьютере (исполняемый файл должен лежать в подпапке со случайным именем, а не на Рабочем столе или в папке Загрузки).
- Переименуйте файл AVBR.exe (Например: AV_b_r.exe), или воспользуйтесь версией со случайным именем файла.
- Запустите переименованный файл AVBR.exe от имени администратора.
- Дождитесь окончания работы утилиты, компьютер будет перезагружен автоматически.
- В папке с утилитой будет создан файл AV_block_remove_дата-время.log. Если обратитесь на форум за помощью, прикрепите его в теме.
После перезагрузки ваш компьютер должен быть очищен от блокировки антивирусных программ. Вы можете проверить это, попытавшись запустить любую антивирусную программу или сканер.
В связи с тем, что автор майнера активно отслеживает форумы лечения и активно вносит изменения в свое изделие, то успешность удаления мы не можем гарантировать на 100%. Если симптомы не пропали (а даже если пропали) рекомендуется обратиться в раздел лечения на форуме. Не забудьте подготовить архив с логами для анализа системы и прикрепить файл (или файлы, если запусков было несколько) AV_block_remove_дата-время.log.