Господа, всем доброго времени суток! Решил я написать эту статейку, чтобы народу проще было и ошибок не повторяли) Кому интересно решение проблемы, сразу переходите в конец статьи, ибо тут будет вся история с самого начала!
Вчера столкнулся со странным вирусом-майнером(Winhosts.exe). Почему майнером? Потому что процессор грузился на 50 процентов и я даже этого не замечал.
С вируснёй, особенно жесткой, не сталкивался со времён XP. Не то чтобы я православно юзал антивирусы и прочее. Наоборот! Я 4 года просидел на Win10 без антивируса и каких-то его внутренних защитных оболочек и никогда ничего подобного не было. Сейчас я сижу на свежеустановленной(3 месяца) версии Win10 и вот случилось...
Решил скачать себе "Ccleaner". Прога популярная и я всегда ей пользовался и никогда не было проблем. Но вот он спросил не хочу ли я обновить драйвера и я по ошибке нажал да. Все обновилось, как-то странно установилось и комп перезагрузился. Потом я начал замечать странную работу компьютера. Лаги игр и прочие странности.
Полез в диспетчер задач. Процессы были вроде все обычные и ничего такого зловещего я там не заметил, но был процесс "Запустить" и я решил посмотреть где он находится. В диспетчере задач нажал на процесс ПКМ и нажал "Открыть расположение файла". Меня перенесло в папку "ProgramData"(скрытая системная папка) далее PD и сразу же благополучно оттуда выкинуло. То есть просто закрылось окно с папкой, потом и диспетчер задач завершился... И так он меня никуда и не пускал. Папка PD сразу же закрывалась, диспетчер задач сразу же закрывался.
Пытался что-то сделать и понять, но все было тщетно и я решил поставить себе антивирус. Пробовал и "Касперский" и его утилиты и "Dr. Web", но при попытке установить антивирус или открыть утилиту удаления вирусов мне выводило сообщение
Ну я полез смотреть локальные политики и оттуда меня тоже выбрасывало моментально. Смарт скрин? Даже не грузился.
Поняв, что -
Я ушел в безопасный режим. Тут все открывалось и пускало во все папки, только толку от этого оказалось чуть больше чем ни сколько. Политики все были в порядке, дополнительных странных пользователей я не нашел. Правка политик и удаление строк в Реестре системы ничего не дало.
Решил таки попробовать антивирус. "Касперский" не смог запуститься в безопасном режиме, а "Dr.Web" вообще ошибками сыпал и даже установиться не смог...
Однако "Kaspersky Virus Removal Tool" запустился и начал сканировать систему!
Он нашел штук 10 троянских и майнерских программ и даже какой-то RDP по которому мб кто-то и наблюдал и начал пытаться всё лечить и удалять. Ну, думаю, победа! А не тут то было... После перезапуска опять окошки с запретами и все это не запускается вне безопасного режима. Вернулся в безопасный и начал опять сканить и опять нашел тоже самое:
И так раза 3 повторилось, потом мне все это надоело и я решил спросить у гугла что вообще происходит.
Когда не знаешь, что конкретно искать, то диагностировать сложновато... А еще и сайты информационные сразу закрывали браузер! Какие-то форумы по проблеме - закрывает, ответы мэил - закрывает, ютуб с решением - закрывает.
В безопасном режиме только статейки можно было почитать и где-то в дебрях нашел прогру "Process Lasso", с помощью которой вне безопасного режима я нашел в запущенных процессах "Winhosts.exe" который грузил проц на 50 процентов. Я сразу же побежал в файл "hosts" и там такое веселье меня встретило, одни 8.8.8.8 и подобная нечисть, которая блочила все информационные ресурсы.
Правка или удаление этого файла не помогло, все создавалось по новой, как и все, что было удалено "Касперским".
И вот уже к 2 часам ночи я нашел волшебную программу-скрипт, которая ловит майнеров и убивает их под корень.
AV Block Remover
В обычном режиме он не запускался, т.к. вирусня его сразу закрывала и даже секунды не проходило, но в безопасном режиме он благополучно запустился и сразу начал спрашивать знаком ли мне какой-то Джон и если нет, то мы его отсюда убираем, что залетел какой-то хитрый майнер и сейчас мы будем с ним разбираться. И буквально минуту исполнялся скрипт с проверкой и он всю вирусню под корень удалил. Потом уже в обычном режиме программы начали открываться и я прогнал все бесплатной утилитой "Касперского" и уже ничего не было найдено. Процесс исчез, в папки все стало заходить, антивирус установился.
_________________________________________________________________________________
Вот такое вот вечерне-ночное приключение случилось. Надеюсь статья была информативной и полезной! Всем спасибо за внимание!
Мораль сей басни такова - никогда не сдавайтесь! Не всегда обязательно сносить систему, иногда без этого никак, но лучше пробовать спасти все до последнего) Если вдруг уже вариантов нет - тогда отсоединяем "харды" прогоняем на вирусы через другой комп и спасаем данные.
Всем хороших летних дней!
