• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Хитрый майнeр taskhost RealtekHD


Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Недавно ко мне обратился человек за помощью с просьбой удалить у него майнер. Казалось бы, какие могут быть майнеры, но всё-таки люди где-то их находят.
Вооружившись утилитой process hacker видим такую картину:

process_hacker.jpgprocess_hacker2.jpg

2 непонятных процесса, запущенные от svchost, с закосом под планировщик задач. А также отдельно audiodg, который к Runtime broker не относится. Переходим в расположение файла через свойство процесса и... окно проводника тут же закрывается. Что делать в таком случае? Выделяем все подозрительные процессы, вызываем контекстное меню -> suspend, таким образом временно приостанавливая их работу. Теперь можно снова открыть папку с вирусом, но она оказывается пустой:

realtekHD_empty.jpg

Как же так? Отображение скрытый файлов включено. Дело в том, что вредонос присвоил себе системный аттрибут вместе со скрытым. В этом случае нужно включить и отображение системных файлов. Возвращаемся в папку и видим, что тут лежат 2 зловреда taskhost.exe и taskhostw.exe

realtekHD.jpg

Удалить мы их не можем, так как они висят в памяти в замороженном (suspend) состоянии, если их разморозить, то один из них тут же закроет папку. Но их можно переименовать, называем как нибудь по-корявому, создаем на их месте КАТАЛОГ с теми же именами, что были изначально. Должны быть такая примерно картина:

realtekHD_folders.jpg


Теперь они не смогут сами себя перезаписать. Далее, следует воспользоваться утилитой Autoruns, чтобы увидеть все варианты автозапуска зловреда и выпилить все его непотребства.

autoruns.jpg


Также не забываем про тот самый отдельный процесс audiodg, который прячется в той же ProgramData\WindowsTasks. Помимо его самого тут ещё много всего интересного. Кстати, у человека, которому я помогал ЦП от intel и карта от nvidia. Откуда тогда здесь AMD? )))

WindowsTask.jpg

Точно также переименовываем audiodg вот что-то нечитаемое, создаем каталог с тем же именем, затем завершаем процессы зловреда в process hacker и выносим содержимое папки. Теперь можно спокойно перезагрузить ОСь. После перезапуска ничего не шумит и не тормозит, но всё же одна проблема осталось: Сайты с антивирусами не открываются в силу модификации файла hosts, очистить его не такая проблема, но поставить антивирус уже сложнее, так как майнер насоздавал кучу папок, куда всё обычно ставится. Просто так через delete их не удалить, для этого требуется пакет PStools, в комплекте которого имеется утилита psexec, что позволяет запустить cmd от имени системы и удалить их.
psexec64.exe -s -i cmd.exe

programfiles.jpg

Итак после минут 40 ковыряний ликвидируем зловреда. P.S. Перед удалением трояна я попросил человека скинуть экземпляры. К сожалению, у меня нет опыта в реверс-инженериге, максимум что я мог выяснить, это модификация Gminer'a. Пэйлоад весит много, поэтому закинул на диск.

Пароль ru-sfera.pw
 

Anubis

Просветленный
Просветленный
Регистрация
22.11.2012
Сообщения
505
Репутация
229
Интересно, а виндовый дефендер не блокирует угрозу, детектит-же, или отключают ?
ну наши персонажи как обычно качают торренты и отключают антивирусы при установке всякого гуано
а потом жалуются..... на отсутствие мозга видмо
антивири почти все это детектят......
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Набросал сей инструмент для вычисления майнеров → . Конечно до cure it долековато, но по крайне мере позволяет ускорить процесс очистки и избавить от долгих ковыряний в системе. Надеюсь что проект окажется чем-то полезным, в последствии будет дорабатываться.
 
Последнее редактирование модератором:

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Нлом, но как по мне то лучше б тему хорошего майнера сборки расскрыли
Если такой попадется. А что имеется ввиду под "хорошей сборкой"?
Кстати говоря, установщик майнера из статьи мне удалось получить у одного клиента. Принес вместе с активатором)
 

Spectrum735

Просветленный
Просветленный
Регистрация
21.02.2019
Сообщения
260
Репутация
141
Набросал сей инструмент для вычисления майнеров → . Конечно до cure it долековато, но по крайне мере позволяет ускорить процесс очистки и избавить от долгих ковыряний в системе. Надеюсь что проект окажется чем-то полезным, в последствии будет дорабатываться.
Обновил. Ссылку не могу отредачить
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175
@Spectrum735, привет!
Я-бы может отдельную тему создал, так больше вероятности что поисковики проиндексируют и с поисковиков сюда прийдут, если кто-то захочет удалить этот майнер.)
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 175

Надеюсь не против, создал тему.)

Думаю программа полезная, спасибо!
 

Artezavr

Пользователь
Первый уровень
Регистрация
02.05.2023
Сообщения
1
Ребят, помогите, пожалуйста. Удалил все вышеуказанные вирусные файлы. Но теперь при открытии .exe или MSI файлов - выдает ошибку, мол, нет прав группы "Администраторы". Также, не получается скачать ни один антивирусник - выдает ошибку "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору." Что необходимо сделать?
 
Верх Низ