Удалил майнер, которого нигде не было, чтобы вам не пришлось
Пытался скачать игру, тыкнул не туда. Торрент назывался как название игры, в самом торренте были странные файлы. Так иногда бывает, поэтому я скачал. Нажал на game.exe (типичный пиратский установщик), а там никакой инфы про саму игру. Странно, подумал я, и удалил все эти файлы. Но было уже поздно.
Дальше идет рассказ с +- полным описанием моих действий и советами, которые помогли. Полное описание - чтобы вы задетектили похожий случай с вирусами. Советы и проги, которые мне помогли, я выделил жирным шрифтом. Решений, аналогичных моему я в интернете не нашел. Все проги и решения, которые нашел - были заблокированы! Все программы, делающие лог системы (по типу FRST) - тоже. Вирус блокировал их открытие. М б я хреново искал, но мне помогло только то, что я в итоге сделал
Спустя пол часика я запустил сериал на кинопоиске. Но он жутко тормозил. Кадров в 10 шел. Я отключил все тяжелые процессы, позакрывал вкладки - ситуация не изменилась.
Подумал, что ноут уже м б подыхает, но решил открыть System Explorer (дополнительный диспетчер задач, который обычно детектит майнеры. Мне о нем рассказал друг, когда поделился инфой про то, как он похожий майнер удалял. С тех пор на компе и стоит), и... он закрывается) А Process Hacker (аналогичный диспетчер) тоже не открывается.
Начал гуглить Process hacker - как только я включаю вкладку оф сайта - она вырубается. Такое было со всеми утилитами Тут я понял, что попал)
Начал чекать журнал автозагрузки - А ОН ЗАБЛОКИРОВАН. Я открываю - он закрывается. Многие системные папки тоже заблочило (при попытке открыть - закрывался проводник)
Позвонил другу, в надежде на помощь. Он посоветовал утилиту Everything. Это аналог проводника, который ищет файлы и папки быстрее, чем винда. Но чтобы с чем-то бороться - надо понимать, с чем бороться.
Я решил загуглить проги, которые показывают автозагрузку (м б они помогли бы), и вышел на Autoruns. В ней я увидел подозрительные файлы в автозагрузке, которые были созданы сегодня и не имеют отношения ни к чему. + у них висела метка not verified
Я нашел их при помощи Everything (просто вбивайте названия файлов), но... при попытке их удалить или открыть папку, угадайте, что? Everything вырубался)
НО! Благодаря нему я узнал расположение этих и похожих файлов, которые были созданы 27.07. Я сохранил их в блокноте и запустил безопасный режим. И вот уже там я смог их удалить, в том числе благодаря Everything, но не все!
Оставался файл вроде taskhostw.exe. Его открывал какой-то процесс, который я смог выключить диспетчером задач и... удалить этот файл!
Я хз, что это сделало, честно. Скорее всего, открыло доступ к сайтам с ПО.
После этого я полазил в Everything и поудалял там подозрительные файлы, которые были созданы сегодня +- в то время, когда я открыл тот проклятый exe.
Что делал дальше - помню смутно. Пытался скачать разные антивирусы и проги, которые советовали в интернете (avz, AVbr, cureit), но ни одна из них не открывалась(
Есть одна вещь, которая я хз помогла ли мне. Поэтому скрою ее спойлером, но можете тоже почитать:
Зашел в папку programData\microsoft, отфильтровал там все по датам и встретил 3 пустых папки, в которые я не мог зайти! Там выдавало какую-то проблему с доступом к файлу, будто я не админ. Предложило зайти в какой-то лог с безопасностью. Я там выделил всех пользователей, кто не был "мной" (там были "все", что-то еще. Доступ к редактированию им был заблокирован!!), и нажал на кнопку "отключить наследование" и еще что-то, по типу "убрать доступ у всех, кто наследовал". После этого мне открыло доступ к папкам и я их удалил. Вообще, проблемы вроде были только со странной папкой clr_optimization_v..., на скрине она
После я удалил пользователя John из пользователей. По советам mail ru для разблокировки прог сделал следующее:
1. Запускаем редактор реестра regedit 2. Переходим - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun\ 3. В этом разделе будет список нумерованных параметров, каждый из которых запрещает запуск какой-либо программы. Удаляем все те, которые требуется разблокировать.
Убрал запрет на запуск этих прог, запустил AVbr ии... он удалил вирус с потрохами, похоже! Потому что комп теперь не тормозит, и все открывается.
Надеюсь, вам было полезно. Честно, такого способа удаления вируса в интернете по гайдам я не нашел. Тут получилось как сраный квест - ты постепенно удаляешь разные файлы и возвращаешь себе доступ к ПК. Приключение на 5 минут - туда и обратно.
Если у вас есть способы бороться с такими вирусами - запилите тоже посты про это, пожалуйста. Я заколебался его удалять, и решений в интернете не нашел(
UPD: в комментах есть довольно странные, но справедливые доебы и критика, отвечаю на это.
- Я скачал НЕ exe файл и запустил его. Там был торрент файл, с НАЗВАНИЕМ игры, а внутри лежали файл game.exe и куча файлов по типу .bin или типо того, ну стандартные архивы при установке игр. Игра не самая известная, я на похожие репаки наталкивался до этого
- Кто-то не верит, что у меня вообще был такой вирус и пишет, что я этот текст скопипастил? Вы реально хотите, чтобы я вирус сюда выкатил и помог заразиться другим людям? Если интересно - пишите в лс, могу скинуть тот торрент файл. Он у меня ещё остался
- Многие пишут, что я долбоеб раз открываю сомнительные торренты. С сомнительных источников. И вы АБСОЛЮТНО правы. Поймите, есть такая вещь, как человеческий фактор. Я простудился и не очень себя чувствую, а в тот момент делал 3 дела одновременно (работа + просмотр видео + скачивание), поэтому так глупо и поступил. Обычно я скачиваю все с 1-2 сайтов и никаких вирусов ни разу не ловил последние лет 10. Но промахи и тупняки случаются
Если вы хотите написать про "бляя зачем торренты" "бляя где твой антивирус" - не пишите эту хуйню, пожалуйста
Ясно же, что это пост для тех, кто такой майнер словил. А не для вас, умники, блядь