Как я победил разумный вирус на Windows без переустановки системы

Такого умного вируса, честно говоря, на своей памяти, я ни разу не видел. Он умен, хитер, и скрытен. Самым тяжелым была борьба с этим кибер-паразитом.

С чего всё началось.

В последнее время, я стал замечать, что ноутбук стал работать медленнее, больше нагревается, и вообще какая-то фигня с микрофоном (в настройках конфиденциальности не давал ползунок включения сдвинуть) . Решил загуглить: тишина, лишь куча бесполезной информации.

Подумал: зайду-ка я в диспетчер задач, проверить, может, есть что-то не то. Когда я попал в диспетчер задач, то обнаружил стандартные процессы, и лишь один из сотни заострил на себе мой взгляд: «System» со странной иконкой. Тогда-то, в моей голове и встало всё на свои места.

Как я победил разумный вирус на Windows без переустановки системы

Начало битвы за безопасность.

Когда я собрался с силами, я решился начать «войну» с этим вирусом. Почему войну? Потому что удаление этого вируса было равнозначно войне. Далее поймете почему я выразился именно так.

Для начала, я попытался действовать стандартными способами:

Найти каталог где лежит вирус
Удалить как каталог, так и вирус

Какого было мое удивление, когда меня послали куда подальше)) Сначала, диспетчер задач закрылся через 2 секунды, после того как я нажал «Свойства» (чтобы просмотреть путь до файла), но я успел просмотреть путь.

Тогда я и подумать не мог, что моему удивлению еще будет куда идти: папка-то оказалась пуста, от слова совсем. В тот момент, в моей голове родился спорный вопрос: «То-ли я дурак, то-ли лыжи не едут», т.к. такого быть не может: диспетчер задач видит, что файл запущен из этого каталога, а его там вовсе нет.

Как я победил разумный вирус на Windows без переустановки системы

С горем пополам, до меня дошла мысль: а если я всё-таки посмотрел каталог неверно. Открыл диспетчер задач, скачал скриншотер (не реклама) , и быстренько сделал скриншот этого самого файла, чтобы ориентироваться где искать этого скромника))

<i>Скрин вирусного. exe файла из диспетчера задач с его местонахождением</i>
Скрин вирусного. exe файла из диспетчера задач с его местонахождением

Итак. Нашел. Дальше, я подумал, что дело совсем простое: удалить, и забыть. Но фиг бы там плавал - в директорию ведь не зайти. Решил действовать через cmd (командную строку). Перешел в "C:\ProgramData\", и через "rd" решил удалить всю директорию вируса. Но, меня послали куда подальше, сообщив, что такого файла в помине нет, но в тоже время есть.

Как я победил разумный вирус на Windows без переустановки системы

Дальше, я прикинул что к чему, и решил действовать основательно. Вспомнил о существовании команды "DEL" с различными флагами. Вот тут, я и столкнулся с главной проблемой: регенерация. Удаляя один файл, второй воссоздавал копию удаленного файла. Проще говоря: делал всю мою работу бессмысленной.

Усиление мер против паразита.

Поняв, что я имею дело с противником гораздо умнее других противных, но тупых вирусов, до меня дошло: действовать надо основательно. Но как?

В ходе своих попыток, мне удалось выяснить следующее: он триггерится на (не реклама) "Process Hacker" (независимо от того, открыл ли я в браузере это название, или скачал программу) и на похожие ей программы, тупо закрывая их, в т.ч. и браузер, если там открыта хоть 1 вкладка с названием программы из его внутренней базы. Также, удалось выяснить, что после пары попыток закрытия дочерних .exe файлов (их полный список выложу чуть ниже) он вообще перестает допускать до диспетчера задач, просто закрывая его (однако, такой теневой бан длится максимум 5 минут).

По итогу, чтобы победить его, я нашел программу "AnVir" (не реклама) на которую он пускай и агрился, но по крайней мере можно было изменить её название и всё (к слову, с Process Hacker так сделать нельзя было, ибо тогда он не мог подгрузить внутренние модули самого PH). Благодаря этой программе, я увидел, что он заселил все свои файлы в автозагрузку для всех пользователей.

Победа близко!

В этой самой программе, мне удалось закинуть вирусные файлы в карантин на время, чтобы они не мешали мне заниматься удалением. Далее, я нашел один интересный файл: "script.bat". И вот, передо мной все карты: вся его механика работы.

<i>Скрин вирусного скрипта</i>
Скрин вирусного скрипта

Что здесь можно увидеть? Во-первых: он палит все свои вирусные файлы, их расположение, и методы работы (на счёт этого: почти все), во-вторых: он сливал все данные о пользователе на iplogger (далее поясню для чего).С горем пополам, удалив все его файлы через "XYplorer" (не реклама), я нашел в его папках несколько файлов, которые привлекли мой интерес: "new.xml" и "settings.dat".

Исследования и заключения.

Как я уже упоминал выше, меня заинтересовали файлы "new.xml" и "settings.dat".При изучении файла "new.xml", честно говоря, я выпал. Вирус подделывал подписи под подписи известных (и не очень) анти-вирусов, чтобы система и Windows Defender не ругались на высокие приоритеты приложений, и их действия. Там был расположен ОГРОМНЫЙ лист анти-вирусов, и прочих производителей (наверное, на всякий случай).

Как я победил разумный вирус на Windows без переустановки системы

Файл "settings.dat" не открыл мне ничего особо нового, кроме того, что половина защиты вируса, изначально, находилась в нём, т.к. именно он ставил ограничения и вылеты, а .bat скрипт вируса лишь обеспечивал перезапуск вирусных .exe файлов и защиту от их завершения.

<i>Скрин содержания файла settings.dat</i>
Скрин содержания файла settings.dat

То есть, если подводить такие итоги, то .bat скрипт + settings.dat (настройки основного вирусного файла "winserv.exe") - создавали эффект регенерации вируса, пока тот сливал все данные (в т.ч. и пароли, скриншоты работы пользователя, и многое другое), майнил на пк, и разносил себя на другие носители (как я предполагаю).

В результате своих действий, мне удалось выловить длинный лист файлов, которые я опубликую ниже, чтобы если Вы столкнулись с данным вирусом, то без проблем могли его удалить самостоятельно.

<i>Лист всех вирусных файлов</i>
Лист всех вирусных файлов

Вынесение итогов.

Написал я данную статью в связи с тем, что пока я бился с этим противным (но отнюдь умным) вирусом, в интернете я не нашел вообще информации по его удалению (естественно, не считая рекомендации переустановки системы).

Да и переустанавливать систему не имело никакого смысла. Во-первых: даже если у Вас два диска, то вирус просто размножит себя на два диска, и так или иначе Вы с ним останетесь. Во-вторых: если у Вас нет второго диска, и Вы переустановите систему, то вы потеряете всю свою личную информацию. В-третьих: даже если Вы сольете информацию на флешку, то не факт, что вирус не заразит флешку.

UPD: Один из комментаторов указал на то, что я не добавил в статью одну важную информацию, за что ему и спасибо! Итак. Теперь к сути.

Вирус изначально был зашит в мою систему (образ которой, я качал с торрента), а также, вирус сейчас массово зашивают в установщики игр (особенно любят портить репаки Xatab*(не реклама) ). Один из примеров сайтов, где зашивают вирусы в некоторые иры: moreigr (точнее одно из зеркал, не реклама).

К сожалению, сам сайт где я скачивал образ - я потерял, однако, советую не качать сборки Windows 10 Pro 22H2, образ которой может развернуться на флешке 4GB. Один из таких образов я и подхватил. На счёт зеркала moreigr (не реклама) где был вирус тоже не скажу, ибо история давняя (было еще весной 2023), но там я решил не заморачиваться и сделал переустановку. На этом всё =)
* Xatab. Помним, любим, скорбим. Press F.

Я надеюсь, мой пост поможет многим решить данную проблему, и очиститься от вирусов. Оставьте свое мнение в комментариях, и поделитесь: сталкивались-ли Вы с этим вирусом, и как бы Вы боролись с ним?

4848
50 комментариев

Это даже не вирус. И он не умный. Это ты еще умные полиморфные вирусы не встречал в эпоху из рассвета. К счастью их актуальность потеряла смысл. И всего то надо было загрузиться с live cd и в нем полечиться. И вирус ничего не заразит если он не будет запускаться. Поэтому первая цель не дать ему запуститься. От того что он лежит на другом диске и не будет запущен он ничего не заразит.

10

Дело в том, что во-первых: не у всех есть флеш с LiveCD, во-вторых: человек может подхватить этого паразита в то время, когда у него не будет такой возможности, воспользоваться флеш с LiveCD. А так, в принципе, да, достаточно было лишь запуститься в флеш, и провести очистку вирусов

вывод: сидишь спокойно только на дтф и нет никаких вирусов.
зачем кудо еще ходить, елси етсь дтф. не понимаю

8

Просто прикол в том, что данный вирус уже был зашит в одну из сборок Windows, что мне удалось скачать. И неизвестно, в какой еще сборке он может быть зашит. Более того, видел, как левые сайты вшивают этот же вирус в установщики для игр. Так что.. думаю, многим эта статья будет полезна ;)

3

Подобные вирусы были. Я уже привык, что они блокируют открытие сайтов с антивирусами и прочим . Эти блокировали установку антивирусов. При запуске с другой системы и удалении , все возвращалось на свои места. Cureit доктор вебовский только мог работать. Удаление вирусных папок ничего не делала, новые файлы, новые папки. Хотя все тот же вебовский курейт помог. Вирусы задействовали большое количество папок по разным дерикториям. Даже скрытные вирусные файлы на рабочий стол создавались. Сканил весь диск и вроде поборол. Я конечно извиняюсь , но те кто создаёт такую залупу явно - пидары. Надеюсь их черти в аду драть будут. И создателей майнинговых вирусов туда же . Удаляются не трудно, но не отменяет того факта, что они пидары. И майнинг туда же, из-за них сколько народ страдал.

9

Автор, это конечно печально сообщать, но ты к сожалению потратил очень много времени в пустую. Этим "Realtek HD miner" заражено более 3млн устройств, его распространяют через торренты в основном. И из-за 3 млн устройств есть прога AVbr, которая создана специально чтобы удалять этот вирус. Ты просто искал инфу не по тому файлу)

У меня он прописал ещё пользователя John, которому дал доступ выше чем мне (в статье этого не увидел, так что иди проверяй, у тебя левая учетка с возможностью удаленного доступа висит). Закрывает браузер и диспетчер задач, прописал в hosts запреты на все сайты антивирусов, маялся я с ним долго. Livecd кстати не помогает, потому что он как-то клонируется даже если пишет что удалено. Так что качайте AVbr, и он удалит и его файлы, и его записи в реестре, и вообще всё. Берете файл, запускаете безопасный режим, конец. Ловил его ещё в декабре прошлого года.

Статья об AVbr: https://www.safezone.cc/resources/av-block-remover-avbr.224/

Upd: но приятно было увидеть старого знакомого, и понять что все же я достаточно уверенный пользователь пека раз сам смог его удалить.

8

На всякие случай проверил диспетчер задач

5