- Регистрация
- 21.02.2019
- Сообщения
- 288
- Репутация
Недавно ко мне обратился человек за помощью с просьбой удалить у него майнер. Казалось бы, какие могут быть майнеры, но всё-таки люди где-то их находят.
Вооружившись утилитой process hacker видим такую картину:
2 непонятных процесса, запущенные от svchost, с закосом под планировщик задач. А также отдельно audiodg, который к Runtime broker не относится. Переходим в расположение файла через свойство процесса и... окно проводника тут же закрывается. Что делать в таком случае? Выделяем все подозрительные процессы, вызываем контекстное меню -> suspend, таким образом временно приостанавливая их работу. Теперь можно снова открыть папку с вирусом, но она оказывается пустой:
Как же так? Отображение скрытый файлов включено. Дело в том, что вредонос присвоил себе системный аттрибут вместе со скрытым. В этом случае нужно включить и отображение системных файлов. Возвращаемся в папку и видим, что тут лежат 2 зловреда taskhost.exe и taskhostw.exe
Удалить мы их не можем, так как они висят в памяти в замороженном (suspend) состоянии, если их разморозить, то один из них тут же закроет папку. Но их можно переименовать, называем как нибудь по-корявому, создаем на их месте КАТАЛОГ с теми же именами, что были изначально. Должны быть такая примерно картина:
Теперь они не смогут сами себя перезаписать. Далее, следует воспользоваться утилитой Autoruns, чтобы увидеть все варианты автозапуска зловреда и выпилить все его непотребства.
Также не забываем про тот самый отдельный процесс audiodg, который прячется в той же ProgramData\WindowsTasks. Помимо его самого тут ещё много всего интересного. Кстати, у человека, которому я помогал ЦП от intel и карта от nvidia. Откуда тогда здесь AMD? )))
Точно также переименовываем audiodg вот что-то нечитаемое, создаем каталог с тем же именем, затем завершаем процессы зловреда в process hacker и выносим содержимое папки. Теперь можно спокойно перезагрузить ОСь. После перезапуска ничего не шумит и не тормозит, но всё же одна проблема осталось: Сайты с антивирусами не открываются в силу модификации файла hosts, очистить его не такая проблема, но поставить антивирус уже сложнее, так как майнер насоздавал кучу папок, куда всё обычно ставится. Просто так через delete их не удалить, для этого требуется пакет PStools, в комплекте которого имеется утилита psexec, что позволяет запустить cmd от имени системы и удалить их.
psexec64.exe -s -i cmd.exe
Итак после минут 40 ковыряний ликвидируем зловреда. P.S. Перед удалением трояна я попросил человека скинуть экземпляры. К сожалению, у меня нет опыта в реверс-инженериге, максимум что я мог выяснить, это модификация Gminer'a. Пэйлоад весит много, поэтому закинул на диск.
Пароль ru-sfera.pw
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
