Как удалить майнер маскирующийся под Realtek HD: описание вредоносного ПО и руководство по удалению

Введение.

Майнер - это программа, которая использует ресурсы компьютера для добычи криптовалюты и зачастую устанавливается вредоносным ПО без ведома пользователя. Он может причинить серьезный ущерб системе из-за перегрева компонентов, снизить ее производительность и повысить расход электроэнергии.

Описание вредоносного ПО

Является комплексом логически взаимосвязанных файлов. Практически не маскирует себя в системе, опираясь больше на агрессивные методы закрепления в системе и противодействия своему удалению.

Пути заражения

Установка программного обеспечения, игр, активаторов, бесплатных программ, скачанных из ненадёжных источников. Наиболее "любимый" путь распространения - это варез и нелицензионные игры. При том, что были инциденты, когда майнер распространялся через репаки Fitgirl и/или распространялся на известных торрент трекерах. В общем, такая вот лотерея для любителей "бесплатного софта".

Использование файлов taskhost.exe и taskhostw.exe, имена которых совпадают с именами легитимных файлов Windows, но расположены в других папках.
Использование процесса Realtek HD - попытка скрыться за Realtek High Definition, который в свою очередь является официальной версией бесплатного пакета драйверов, предназначенного для корректного воспроизведения аудиофайлов для операционных систем Microsoft Windows.

Типовые симптомы

Блокирует доступ к некоторым сайтам при помощи добавления записей в файле hosts, что позволяет перенаправить запрос на несуществующий IP адрес. В списке в основном сайты, которые могут помочь с удалением данного вредоносного ПО. Это не единственная методика блокирования ссылок. Основные симптомы: некоторые страницы не открываются или при клике на ссылку браузер закрывается.
Создает специально сконфигурированные папки с именами, которые используют для работы некоторые антивирусы и утилиты лечения, а также работу другого ПО (в том числе конкурентное вредоносное ПО).
Пытается заблокировать работу Защитника Windows (Windows defender), добавляя в реестр записи, которые должны блокировать работу антивируса.
И добавляет в список исключений антивируса принадлежащие зловреду файлы.
Использует функционал ОС для блокировки запуска программ по имени файла (DisallowRun).
Применяет (если позволяет редакция ОС) политики AppLocker, чтобы ограничить запуск определенных приложений по пути или хешу.
Создает учетную запись с именем John на компьютере жертвы, которая имеет права администратора и может использоваться как один из способов удаленного доступа к системе пользователя.
Отправляет на сервер злоумышленника подробные данные о компьютере жертвы, его расположении (по IP).

Удаление майнера и восстановление работы компьютера

Если вы хотите удалить это вредоносное ПО и восстановить работоспособность компьютера, вы можете использовать специально подготовленную утилиту AV block remover. Эта утилита автоматически находит и удаляет файлы и записи реестра, связанные с этим вредоносным ПО.

Описание утилиты AV block remover

AV block remover (AVbr) — скрипт на базе антивирусной утилиты AVZ, позволяющий удалить из системы майнер, который блокирует установку и работу антивирусов и доступ к антивирусным сайтам. Скрипт был создан для удаления одного конкретного майнера. Обновляется ежедневно.

Возможности AV block remover

Удаление файлов и заданий, созданных майнером.
Снятие ограничений на запуск файлов и блокировки сайтов.
Восстановление работоспособности антивирусных продуктов, если такая имеется.
Восстановление повреждённых или удаленных системных настроек, в частности воссоздаёт удалённую майнером службу "Программный поставщик теневого копирования (Microsoft)".

Инструкция по работе с AV block remover

Скачайте архив с утилитой по одной из этих ссылок: AV block remover или с зеркала.
Распакуйте архив в любую папку на вашем компьютере (исполняемый файл должен лежать в подпапке со случайным именем, а не на Рабочем столе или в папке Загрузки).
Переименуйте файл AVBR.exe (Например: AV_b_r.exe), или воспользуйтесь версией со случайным именем файла.
Запустите переименованный файл AVBR.exe от имени администратора.
Дождитесь окончания работы утилиты, компьютер будет перезагружен автоматически.
В папке с утилитой будет создан файл AV_block_remove_дата-время.log. Если обратитесь на форум за помощью, прикрепите его в теме.

После перезагрузки ваш компьютер должен быть очищен от блокировки антивирусных программ. Вы можете проверить это, попытавшись запустить любую антивирусную программу или сканер.

В связи с тем, что автор майнера активно отслеживает форумы лечения и активно вносит изменения в свое изделие, то успешность удаления мы не можем гарантировать на 100%. Если симптомы не пропали (а даже если пропали) рекомендуется обратиться в раздел лечения на форуме. Не забудьте подготовить архив с логами для анализа системы и прикрепить файл (или файлы, если запусков было несколько) AV_block_remove_дата-время.log.