Итак, симптомы этой гадости:
Копаем глубже, разъясняем про майнера:
Кто-то когда-то (конечно же не ты) смотрел много порнухи и качал всякий шлак. Подцепил майнера, ублюдка такого, который на твоих мощностях криптовалюту добывает. Бывает. Главное чтобы мама не спалила.
Суть такая, в папке “‘C:\ProgramData\RealtekHD” лежит файлик taskhost.exe. И смело маскируется в диспетчере задач под COM Surrogate, запускаемый dllhost”ом, который в свою очередь должен лежать в “”C:\Windows\System32”. Подозрительно? Я тоже так считаю. Вот этот шлак и есть тот самый вирусняк.
Так, а делать то мы с этим че будем?
Сейчас вместе думаем “Да сколько уже можно?!”, но верим в лучшее, осталось чутка.
10. Заходим в “‘C:\ProgramData”, ищем папки с названиями антивирусов
11. ПКМ на них нещадно -> Свойства -> Безопасность -> Дополнительно
12. Находим своего юзера, видим напротив него “полный доступ” и “запрещено”
Сильно зло думаем “Скотина, как он имеет право хозяйничать на моем компе.?!”
13. Нажимаем на себя, изменить и, спасибо что вирус тупой, просто нажимаем разрешить.
14. Удаляем нахер папку, радуемся жизни.
15. Вуаля, готово, дан, качай порнуху дальше. Скринов не будет, мне лень.
На всякий на тебе ссыль на докторвеба и на полезную статейку на ремонтке
UPD:
Тут по прочитанным комментам – есть бесплатная утилитка DrWeb cureit ссылка вот
Вирус закрывает браузер, блокирует и не дает скачать антивирусы — что делать?
В последнее время распространились вирусы, которые, помимо своей основной «деятельности», не дают запустить браузер, а если он запускается — блокируют сайты антивирусов и средств удаления вредоносных программ, а также компьютерные сайты (включая мой). Всё это делает удаление таких вирусов сложным для начинающих пользователей.
В этой инструкции подробно о том, что можно сделать, если вы столкнулись с тем, что на вашем компьютере есть вредоносная программа, вирус или майнер, а что-то сделать для её удаления не получается. Описываемые шаги подойдут для Windows 11, Windows 10 и 7.
Как разблокировать сайты антивирусов
Прежде всего: почти все вирусы такого рода блокируют доступ к сайтам антивирусов с помощью файла hosts. Вы можете его отредактировать и убрать блокировку, подробнее об этом в статье Как изменить файл hosts.
Достаточно будет удалить все строки, которые начинаются не со значка решетки (впрочем, можно просто удалить всё содержимое файла hosts — результат будет тот же самым), затем сохранить файл и посмотреть, была ли решена проблема с открытием нужных сайтов. Также может помочь отключение брандмауэра Windows, в котором могут быть настроены правила блокировки сайтов.
Как скачать нужные утилиты, если вирус закрывает браузер
Для начала рекомендую попробовать использовать безопасный режим с поддержкой сети — возможно, в этом режиме ваш браузер будет исправно работать (при условии отсутствия блокировки сайтов в файле hosts). Материалы на тему: Как зайти в безопасный режим Windows 11, Как зайти в безопасный режим Windows 10.
Как удалить вирус, закрывающий браузер и не дающий запускать антивирусы
Прежде всего, проверьте, есть ли возможность снять ограничения с запуска антивирусов и браузеров, как описано в инструкции Операция отменена из-за ограничений, действующих на этом компьютере (подойдет и для других сообщений или их отсутствия).
Если предыдущий подход не помог, для удаления мы можем использовать антивирусы с загрузочной флешки (вирус точно не помешает их запуску), но для начала рекомендую следующие варианты, есть большая вероятность, что вредоносное ПО их «пропустит»:
- Posters
- 8 Сообщений:
Отправлено 23 Июнь 2024 – 23:23
(к сожалению подгрузить картинки для наглядности тут не получается – поэтому все с логами кидаю через Яндекс.Диск)
При сканировании появляется 5 объектов:
3 трояна и 2 DPH:Process.ExecMimic (фиг знает что это такое, но пишет “подозрение”) – см. Рис.1
При лечении 3 трояна помещаются в карантин, 2 остальных файла лечатся – см. Рис.2.
При закрытии приложения Dr.Web Curelt предлагается перезагрузить систему.
После перезагрузки компьютера – при сканировании, все появляется заново.
И так бесконечно.
Логи так же тут не получилось вложить. Даже по файлу – файл “cureit.log” (21Mb) пишет – Этот файл слишком велик – не говоря уже о “desktop-umo0dav_amd_3-0-3-202406050_23062024-222443.zip” (116Mb)
Поэтому все файлы найдете в общей папке облака.
Заранее признателен за помощь.
Сообщение было изменено Leif: 23 Июнь 2024 – 23:23
- 3 140 Сообщений:
Отправлено 23 Июнь 2024 – 23:23
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ – сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
– лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
– переустанавливать операционную систему;
– менять расширение у зашифрованных файлов;
– очищать папки с временными файлами, а также историю браузера;
– использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из “Аптечки сисадмина” Dr. Web;
– использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
- Posters
- 959 Сообщений:
Отправлено 24 Июнь 2024 – 08:37
c:\ProgramData\ReaItekHD\taskhost.exe c:\ProgramData\ReaItekHD\taskhostw.exe C:\Windows\SysWOW64\unsecapp.exe
Загрузите через форму https://vms.drweb.com/sendvirus/
Сюда напишите номер тикета, который придёт на почту.
- Posters
- 8 Сообщений:
Отправлено 24 Июнь 2024 – 09:43
Сегодня утром проблема частично ушла.
Выяснилось, что 3 трояновских файла каждую загрузку рабочего стола распаковывал WinRAR.
Сегодня при загрузке рабочего стола появилось такое окно.- см. Риск 3 в исходном облаке.
Извлечение файлов в папку C:\ProgramData\WindowsTask
Извлечение из Packs.exe
Невозможно создать AppHost.exe
Отказано в доступе.
Невозможно создать audiodg.exe
Отказано в доступе.
Невозможно создать MicrosoftHost.exe
Отказано в доступе.
Именно в этих файлах были трояны.
По возможности, помогите найти где прячется этот автозапуск.
p.s. – подтвердите последний запрос если он еще актуален в свете последней инфы
Сообщение было изменено Leif: 24 Июнь 2024 – 09:44
- Posters
- 8 Сообщений:
Отправлено 24 Июнь 2024 – 10:06
При открытии папки ” C:\ProgramData\” проводник автоматически закрывается через 2 секунды после открытия.
- Posters
- 8 Сообщений:
Отправлено 24 Июнь 2024 – 11:18
c:\ProgramData\ReaItekHD\taskhost.exe c:\ProgramData\ReaItekHD\taskhostw.exe C:\Windows\SysWOW64\unsecapp.exeЗагрузите через форму https://vms.drweb.com/sendvirus/
Сюда напишите номер тикета, который придёт на почту.
C:\Windows\SysWOW64\unsecapp.exe – файл не найдет (возможно потому, что я сегодня еще раз включил запустил сканер и полечил верхние 2 файл, либо по причине что первые 3 трояновских файла пропали)
- Posters
- 1 112 Сообщений:
Отправлено 24 Июнь 2024 – 14:11
Lief , после вашего обработки тикета , советую пролечить с помощью Dr.Web Live USB , если CureIT не может пролечить систему , скорее всего зайти на загрузочник , вирус будет удален из системы , по крайней такое возможное решение.
Либо , вирусный аналитик предоставит спец утилиту Dr.Web Fixit – для удаление , если он будет в сети .
Если остались следы мальваря , возможно еще надо будет другая утилита лог с помощью FRST , однако потребуется доп информация о теле вируса ( следы остались в системе )
- Posters
- 1 112 Сообщений:
Отправлено 24 Июнь 2024 – 14:14
Этот мальварь жестоко прописан с удаленным доступом , т.е мальварь снова восстанавливается после лечение известного мальваря , вновь создается через скрипт и скачивается через интернет ..
Сообщение было изменено Alexander007: 24 Июнь 2024 – 14:14
- Posters
- 1 112 Сообщений:
Отправлено 24 Июнь 2024 – 19:42
Как успехи в итоги лечении ?
Сообщение было изменено Alexander007: 24 Июнь 2024 – 19:43
- Posters
- 8 Сообщений:
Отправлено 24 Июнь 2024 – 23:45
Как успехи в итоги лечении ?
Пока ни как. Как не путался удалить, все равно подгружаются файлы заново.
- Posters
- 8 Сообщений:
Отправлено 25 Июнь 2024 – 00:11
Интересное наблюдение 2:
При запуске MSCONFIG – окно моментально закрывается.
При загрузке некоторых форумов и видео с описанием борьбы с подобными вирусами браузер автоматически закрывается.
- Posters
- 1 112 Сообщений:
Отправлено 25 Июнь 2024 – 01:07
https://forum.drweb.com/index.php?showtopic=337256&p=908872, выполните логи FRST . А, Там в логах будем смотреть , что у вас в системе ..
- Posters
- 959 Сообщений:
Отправлено 25 Июнь 2024 – 07:10
- Members
- 2 Сообщений:
Отправлено 25 Июнь 2024 – 14:11
Всем привет, столкнулся с точно таким же вирусняком, свежий cureit проблему не решил, 5-6 вирусных записей появляется каждый раз при проверке после перезагрузки.
- 19 474 Сообщений:
Отправлено 25 Июнь 2024 – 14:12
Всем привет, столкнулся с точно таким же вирусняком, свежий cureit проблему не решил, 5-6 вирусных записей появляется каждый раз при проверке после перезагрузки.
Создайте новую тему, в которую сразу же приложите нужные логи.
- Posters
- 8 Сообщений:
Отправлено 25 Июнь 2024 – 21:06
- Members
- 2 Сообщений:
Отправлено 26 Июнь 2024 – 01:51
С другого компа скачивай на флешку, но мне актуальная версия за вчера не помогла, как и утилита от касперского, хотя она понаходила во всех браузерах скрипты на установку и скачку всякой «дряни»
После перезагрузки все тоже самое.
Сообщение было изменено seredux: 26 Июнь 2024 – 01:53
- 19 474 Сообщений:
Отправлено 26 Июнь 2024 – 07:58
Разберемся, как восстановить работу системы, если вирус блокирует работу антивирусной программы.
Признаки заражения компьютера
Иногда постороннее программное обеспечение не оказывает прямого разрушительного влияния, но вредит другими способами. Например, вирус майнер использует ресурсы системы в своих целях и передаёт данные через интернет.
Первые симптомы заражения, которые не стоит игнорировать, это увеличение сетевого трафика и замедление работы большинства программ или всей системы. Если это происходит, стоит насторожиться, особенно если вы не устанавливали новые программы или оборудование.
Явный «красный флаг» — визуальные изменения. Например, вы обнаруживаете, что стартовая страница вашего браузера изменилась без вашего согласия, или стали появляться всплывающие окна и сообщения, явно содержащие посторонний контент.
Уже на этом этапе стоит проверить компьютер на наличие вредоносных программ. Если вы продолжаете игнорировать подобные сигналы, то следующими признаками могут стать постоянные сообщения о серьезных ошибках и автоматическая перезагрузка компьютера.
Вишенкой на торте становится отключение антивируса, сообщение «Невозможно обновить антивирусные базы» и даже полная потеря работоспособности компьютера в нормальном режиме.
Как вредоносное программное обеспечение может мешать работе антивируса
Помимо основной своей задачи, у вредоносного ПО есть ещё одна: не дать антивирусу обнаружить себя и ликвидировать. Для этого вирус использует следующие приёмы:
- Блокировка и отключение антивирусных служб и процессов. В результате антивирус либо не запускается вообще, либо неактивен, либо его запуск завершается сообщением об ошибке.
- Блокировка сайтов антивирусов или всего интернет-соединения. В первую очередь это действие преследует цель не дать антивирусу обновить базы угроз, но в тяжёлом случае пользователь не сможет скачать даже дистрибутив. Иногда вирус подменяет адрес сайта и направляет браузер на «фальшивую» страницу».
- Блокировка файловой системы и внесение изменений в системные библиотеки антивируса. В этом случае антивирус оказывается сам инфицирован вредоносным ПО.
Если вы обнаружили себя в такой ситуации, очевидное решение — отдать компьютер в руки специалиста. Для тех же, кто не боится трудностей и готов попробовать вылечить систему самостоятельно, рассмотрим план спасения компьютера на примере операционной системы Windows 10.
Самые очевидные действия
Если антивирус установлен, но не видит существующие угрозы, можно просто остановить все, что вызывает подозрения, через Диспетчер задач, а затем обновить базы и провести лечение компьютера.
К сожалению, чаще всего эти меры не дают результатов, потому что разработчики вредоносных программ постоянно совершенствуют способы заражения. Кроме того, работа с реестром требует знания его устройства, и уронить систему в этом случае довольно легко. Поэтому рекомендуем сразу переходить к более эффективным решениям.
Лучшие способы борьбы с вредоносным ПО
Существует четыре способа «перехитрить» вредоносное программное обеспечение и прекратить его работу:
- установить или переустановить антивирус;
- запустить лечащие утилиты;
- загрузиться с помощью LiveCD;
- переустановить операционную систему.
0. Вход в безопасный режим
В безопасном режиме система Windows работает с минимальным набором системных файлов и драйверов, игнорирует автозагрузку программ и использует сетевые настройки по умолчанию, тем самым изолируя вирусы на машине.
- Вызовите утилиту msconfig через командную строку или с помощью меню «Выполнить», воспользовавшись комбинацией клавиш Windows+R.
- Перейдите на вкладку «Загрузка» и поставьте флажки, как показано на скриншоте:
- Нажмите «Ок».
- Утилита предложит немедленную перезагрузку или выход для сохранения изменений в других окнах приложений. Сохраните то, что можно сохранить и перезагружайтесь.
После перезагрузки появится экран в минимальной графической конфигурации, а на рабочем столе будет отображаться надпись «Безопасный режим».
1. Установка или переустановка антивируса
Если антивирус запускается, обновите антивирусные базы и проведите полную проверку системы.
2. Лечение с помощью утилит
Если вы решили воспользоваться одной из лечащих утилит, помните, что создатели вирусов постоянно совершенствуют свои «творения». Даже если утилита выпущена всего неделю назад, она может пропустить более свежие разработки, поэтому качайте свежую версию с сайта разработчика. Утилиты, скачанные из посторонних источников, также не обеспечивают эффективного избавления от вирусов.
После запуска утилита создает защищенную среду и препятствует дальнейшему распространению вирусов.
Этот способ лечения весьма эффективен и удобен, но иногда компьютер инфицирован до такой степени, что даже скачивание лечащих программ недоступно или не даёт результата. В этом случае поможет следующий способ.
3. Лечение с помощью антивирусного LiveCD
Часть системных файлов может быть повреждена или блокирована вирусом. Кроме того, в некоторых случаях он может продолжать работу даже в безопасном режиме. Здесь на помощь приходит загрузочный LiveCD, который также доступен на сайтах компаний, разрабатывающих антивирусные программы.
Главное достоинство этого способа заключается в том, что LiveCD загружается автономно, создавая собственную среду выполнения программ. Помимо того, загрузочный диск автоматически подгружает актуальные антивирусные базы. Для того, чтобы воспользоваться им, нужно включить в BIOS загрузку с внешнего носителя.
Второй — нужно уметь создавать загрузочные флешки из образа. Впрочем, сегодня загрузочные флешки — де-факто стандарт установки, так что сделать её из образа можно даже стандартными средствами Windows, не говоря уже о специализированных программах типа UltraISO.
Третий — на компьютере не получится ничего делать, пока лечение не закончится.
4. Восстановление или переустановка системы
Может оказаться, что последствия работы вредоносного ПО настолько масштабные, что даже после лечения система не сможет запуститься. В этом случае, а также когда вам проще поставить систему заново, чем лечить заражённые файлы, потребуется восстановление из резервной копии или полная переустановка системы.
Чаще всего проще переустановить систему заново, особенно если файлы данных хранятся в облаке, а прикладного ПО, которое придётся устанавливать и настраивать заново, сравнительно немного.
Кратко о том, что делать, если вирус не дает установить антивирус
- Оцените масштаб заражения, попробуйте вылечить машину с помощью установленного антивируса;
- Если вирус блокирует установку антивируса, воспользуйтесь одним из четырёх способов;
- установить или переустановить антивирус в безопасном режиме;
- запустить лечащие утилиты в безопасном режиме;
- загрузиться с помощью LiveCD;
- переустановить операционную систему.
- Если не уверены в своих силах или что-то идёт не так, обратитесь к специалисту;
- Сделайте резервную копию системы и регулярно проводите проверку на вирусы после успешного лечения;
- Не забывайте о цифровой гигиене: скачивайте программы из надёжных источников, избегайте подозрительных сайтов.
Техническое обслуживание HYPERPC
У наших специалистов есть необходимые знания и навыки, чтобы восстановить работу компьютера быстро и эффективно. Мы гарантируем, что все работы будут выполнены аккуратно и в установленные сроки. Вы можете полностью положиться на наш опыт в области обслуживания компьютеров и ноутбуков. Сервис-центр HYPERPC.
