Начинаю с ходу. Ночью компьютер попросил перезагрузки после установки одной программы (она никак не связана с темой). После того как комп ожил и я вошел в систему, а это Win10, мой комп дал такого жару, что я заметил капельки пота на его корпусе, комп начал свистеть, шипеть и почти загорелся (немного утрировал). Я быстренько схватил огнетушитель, мало ли что в жизни бывает, и открыл диспетчер задач. Процессор был загружен стабильно под 70%. Имя тому виновнику-процессу 464464… Что немного как бы заставляет задуматься.
Что ты такое?
В диспетчере задач в свойствах процесса посмотрел имя и расположение файла, который его запускает. Им оказался файл vannersh-smi.exe, и лежал он на диске ЦЫ в папке lan. При этом он там появился еще месяц назад. Вместе с ним в папке есть еще два интересных файла Xot.exe (о нем мы еще поговорим) и текстовый файл, его название и содержимое можно посмотреть на картинке ниже.
Удаление!!! Что?! Если это вирус, то зачем писать инструкцию, как его удалить. Но тем не менее. В файле указаны пути к папкам автозагрузки. Туда помещаются ярлыки несистемных приложений, которые запускаются в момент входа пользователя в систему. В папке с автозагрузкой лежал еще один ярлык – с тем самым Xot.exe. Да и в запущенных процессах Xot.exe тоже висел.
Откуда ты взялось?
Оказалось, что за Xot.exe скрыта утилита TrayIt! Helper. Она позволяет свернуть программу в системный трей, т.е. запущенное приложение не будет отображаться в панели задач, а улетит в трей, который находится справа на панели задач и разворачивается при клике на маленькую стрелочку. Обычно там размещаются фоновые приложения.
В трее видно иконку защитника Виндовс, его такая обстановка вполне устраивает, и он не жалуется. Других антивирусов у меня нет. Если у вас встречалась подобная ситуация, напишите комментарий, возможно, антивирусы ловят такие штучки.
Само приложение очень простое, список открытых окон, выбираешь нужное и сворачиваешь в трей. Свернуть окошко можно также нажав на крестик в углу окна не левой кнопкой мыши, как это обычно, а правой. Ниже скрин с информацией о приложении, может кому будет интересно потренить свой пёрфэктинглишь.
Так все-таки – что ты такое?
Что касается самого файлика vannersh-smi.exe, то поисковики выдали всего одну страничку на мэйл-ответах. При этом она довольно свеженькая, всего двухнедельной давности. Ответы знатоков не порадовали, кроме одного: «Подозреваю, что это вирус майнер», — сказал этот святой человек. И да он оказался прав. Примерно так они и работают. Понятия не имею как вирусняк попал на мой комп, но скорее всего с каким-то софтом. Криптовирус запускался при входе в систему и сразу сворачивался в трей, затем раб-процессор майнил своему хозяину денежку, ну или что ему там нужно. Как процессору, так и бедному компьютеру от этого естественно нехорошо, да и как-то майнить за кого-то – дело неблагодарное.
Я сначала подумал мало ли это архивчик. Но .zip и .rar отказались открываться. Потом попробовал посмотреть файлик подробнее через дедовский hex-редактор hiew (он довольно функционален, там нет ничего лишнего, советую). Файлик действительно упакован, по-видимому это исполняемый файл, к тому же с сигнатурой MZ. Это и есть исполняемый файл. Изначально в DOS системах MZ пришел на замену COM-файлам. Сейчас от обычного исполняемого PE он отличается тем, что используется в качестве заглушки для запуска на MS-DOS для вывода сообщения «This program cannot be run in DOS mode».
Избавляемся от нелегала
Удаляется все это дело очень просто и безобидно кнопочкой Del (лучше Shift+Del), но предварительно удалив процессы, связанные с vannersh-smi.exe и TrayIt!, ярлыки из автозапуска тоже удаляем.
Папочку с майнером засейвил. Кто хочет поиграться с ней пишите в комменты, поделюсь с удовольствием. Кто шарит за это – дайте знать. Ну а кто просто хочет помочь майнерам, то милости прошу – запускайте🙃
Не болейте вирусами!)))
Источник: IT Проповедник