Jump to content

Recommended Posts

Posted (edited)

"Посчастливилось" столкнуться с новым майнером. Читал, знаю, понимаю, владею информацией, что данный вид зловредов блокируют доступ к сайтам антивирусов, не пускают в скрытые системные папки типа "AppData", "ProgramData" и т.д., - просто выкидывает на рабочий стол и закрывает эти папки, а также вылетает диспетчер задач. Скажу сразу, потратил сегодня целый день на этот зловред, но в итоге успешно получилось удалить его с системы без KVRT, докторов вебов и avBr... Но, всё-равно было непросто. Загрузился в безопасный режим с помощью CMD (с правами админа): bcdedit /set {default} safeboot network и после загрузки, с помощью диспетчера задач вырубал древа процессов, всех, напоминающих "подставные" процессы RealtekHD. Ниже прикреплю txt-файл с найденным в скрытой папке ProgramData bat-файлом, подробно описывающим все действия майнера-зловреда (использовал он powershell). 

После того, как вырубил дерева процессов, прямо тут же, молниеносно заходил в папку ProgramData и удалял exe-шники манера (предварительно просмотрев в диспетчере задач полный путь к файлу). Перезапуск майнера и всех исполняемых файлов по таймеру - примерно 1 минута, потом он снова запускается и блокирует доступ к папке, + восстанавливает все дочерние файлы. В итоге, после долгой пляски с бубном и попутным выяснением всех путей где он прячется и прячет "хвосты" для своего же восстановления, всё-таки удалил его. Попутно почистил реестр и файл hosts вручную. В hosts он блокирует доступ к сайтам антивирусного ПО, а в реестре блокирует доступ на запуск уже скачанных утилит KVRT, AVZ и так далее (просто по наименованию запрещает запуск). Если переименовать KVRT и прочие утилиты в любое другое название - они возможно запустятся (не пробовал). Вот такие дела. Видеокарта перестала греться и производительность стала в разы лучше. Прикрепляю файл с кодом манера. И да, чуть не забыл, чтобы вывести систему из режима безопасной загрузки: bcdedit /deletevalue {default} safeboot (у кого Win 10-11 - и кто не знает как - будет полезно). Кстати, после всех манипуляций, скачал KVRT, был найден неизвестный процесс в памяти. После перезагрузки запустил KVRT ещё раз - вредоносный процесс в памяти не обнаружился. И да, чтобы не править в реестре вручную ветки, чтобы запускались антивирусные ПО без переименования, рекомендую всё-таки скачать AVbr (https://www.safezone.cc/resources/av-block-remover-avbr.224/). P.S.: при изучении батника наткнулся на персональную ссылку создателя-майнера, думаю, специалисты заинтересуются. Благодарю за внимание.

Scr01.png

Edited by Zanku

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now


×
×
  • Create New...