Як видалити майнер, що маскується під Realtek HD: огляд шкідливого ПЗ та інструкція з видалення

Вступ

Майнер - це програма, яка використовує ресурси комп'ютера для видобутку криптовалюти і часто встановлюється шкідливим ПЗ без відома користувача. Він може завдати серйозної шкоди системі через перегрів компонентів, знизити її продуктивність і підвищити споживання електроенергії.

Опис шкідливого ПЗ

Це комплекс логічно пов'язаних файлів. Практично не маскується в системі, спираючись більше на агресивні методи закріплення в системі та опору своєму видаленню.

Шляхи зараження

Встановлення програмного забезпечення, ігор, активаторів, безкоштовного ПЗ, завантаженого з ненадійних джерел. Найбільш "улюблений" спосіб поширення - це варез та нелицензійні ігри. При цьому були випадки, коли майнер поширювався через репаки Fitgirl або поширювався на відомих торрент-трекерах. Загалом, це лотерея для любителів "безкоштовного софту".

Використання файлів taskhost.exe та taskhostw.exe, імена яких співпадають з іменами легітимних файлів Windows, але розташовані в інших теках.
Використання процесу Realtek HD - спроба приховатися за Realtek High Definition, який, в свою чергу, є офіційною версією безкоштовного пакета драйверів, призначеного для правильного відтворення аудіофайлів для операційних систем Microsoft Windows.

Типові симптоми

Блокує доступ до деяких сайтів за допомогою додавання записів до файлу hosts, що дозволяє перенаправити запит на неіснуючий IP-адресу. У списку, як правило, сайти, які можуть допомогти у видаленні цього шкідливого ПЗ. Це не єдина методика блокування посилань. Основні симптоми: деякі сторінки не відкриваються або браузер закривається при натисканні на посилання.
Створює спеціально налаштовані теки з назвами, які використовують для роботи деякі антивіруси та утиліти лікування, а також роботу іншого ПЗ (включаючи конкуруюче шкідливе ПЗ).
Намагається заблокувати роботу Захисника Windows (Windows Defender), додаючи до реєстру записи, які повинні блокувати роботу антивіруса.
І додає до списку виключень антивіруса файли, які належать шкідливому ПЗ.
Використовує функціонал ОС для блокування запуску програм за іменем файлу (DisallowRun).
Застосовує (якщо дозволяє редакція ОС) політики AppLocker, щоб обмежити запуск певних додатків за шляхом або хешем.
Створює обліковий запис з ім'ям John на комп'ютері жертви, який має права адміністратора і може використовуватися як один із способів віддаленого доступу до системи користувача.
Надсилає на сервер зловмисника докладні дані про комп'ютер жертви, його розташування (за IP).

Видалення майнера та відновлення роботи комп'ютера

Якщо ви хочете видалити це шкідливе ПЗ та відновити працездатність комп'ютера, ви можете використовувати спеціально підготовлену утиліту AV block remover. Ця утиліта автоматично знаходить і видаляє файли та записи реєстру, пов'язані з цим шкідливим ПЗ.

Опис утиліти AV block remover

AV block remover (AVbr) - скрипт на базі антивірусної утиліти AVZ, який дозволяє видалити з системи майнер, який блокує встановлення та роботу антивірусів і доступ до антивірусних сайтів. Скрипт був створений для видалення одного конкретного майнера. Оновлюється щоденно.

Можливості AV block remover

Видалення файлів і завдань, створених майнером.
Зняття обмежень на запуск файлів і блокування сайтів.
Відновлення працездатності антивірусних продуктів, якщо такі є.
Відновлення пошкоджених або видалених системних налаштувань, зокрема відтворює видалений майнером сервіс "Програмний постачальник тіньового копіювання (Microsoft)".

Інструкція з роботи з AV block remover

Завантажте архів з утилітою за однією з цих посилань: AV block remover або з дзеркала.
Розпакуйте архів в будь-яку теку на вашому комп'ютері (виконуваний файл повинен лежати в підтеку з випадковим ім'ям, а не на Робочому столі або в теки Завантаження).
Перейменуйте файл AVBR.exe (наприклад: AV_b_r.exe) або скористайтеся версією з випадковим ім'ям файлу.
Запустіть перейменований файл AVBR.exe з іменами адміністратора.
Дочекайтеся завершення роботи утиліти, комп'ютер буде перезавантажено автоматично.
У теку з утилітою буде створено файл AV_block_remove_дата-час.log. Якщо ви звертаєтесь на форум за допомогою, додайте його до теми.

Після перезавантаження ваш комп'ютер повинен бути очищений від блокування антивірусних програм. Ви можете перевірити це, спробувавши запустити будь-яку антивірусну програму або сканер.

Оскільки автор майнера активно відстежує форуми лікування та активно вносить зміни в свій продукт, ми не можемо гарантувати 100% успішність видалення. Якщо симптоми не зникли (і навіть якщо зникли), рекомендується звернутися в розділ лікування на форумі. Не забудьте підготувати архів з логами для аналізу системи і додайте файл (або файли, якщо було декілька запусків) AV_block_remove_дата-час.log.