Мобільний додаток
Ще більше зручності! Миттєві сповіщення про всі актуальні події вашого профілю!
За більш як два десятки років моїх відносин з комп'ютерами - я, і вони, бачили різні паскудства. І мою цікавість, залізти в середину "заліза", і по програмній частині. Були, звичайно, і віруси, і трояни, як відносно непомітні, так і більш нахабні, з рекламою і т.п. От нещодавно познайомився з новим, для себе, типом вірусів, які антивіруси не помічають. Це славнозвісний майнер "John". Цікаво, що він для мене був непомітним, бо ПК доволі "сильний", ноутбуки, а й тим паче слабкі - будуть грітися, наче ви запустили серйозний шутер на максималках. Симптом помітив, коли треба було підкорегувати файл hosts для доступу до віддаленого сервера. Першим моїм здивуванням стала його відсутність в рідній папці (зазвичай це windows/system32/drivers/etc, порядок міг наплутати), знайшов його прихованим, та ще й "системним". Для довідки, він і його "сусіди" - це просто файли, без якихось *.txt, sys, exe і т.п. типів. Щоб його відкрити - вам досить стандартної утиліти "блокнот", єдине - корегувати можна поза цією папкою, треба копіюванням займатися. Але не про це...
Файл приховувався автоматично, навіть при ручному налаштуванні. Будь який пошук завершувався нічим, просто вікно закривалося за кілька секунд. Те саме стосувалося навіть пошуком в браузері, тому якщо ваш зберігає вкладки - він більше не запуститься, допоки вірус не знищено. Також блокувався "безпечний режим", в т.ч. через команди. В реєстр залізти можна, навіть повидаляти усе, що заманеться і здається підозрілим, але це нічого не дасть. Звичайно, що брандмауер і стандартний захисник вимкнулися, хоча і повторний їх запуск з кільканадцятої спроби (!) навіть дозволили виконати безрезультатну перевірку. Будь-які інші антивіруси і утиліти блокуються при першій спробі встановлення, зміна імені файла максимум пропускає до першого вікна і одразу вимикає. Заміна hosts на "здоровий" не має жодного сенсу, файл перезаписується одразу. Також в диспетчері задач я бачив дивну програму system, яка наче птах фенікс, відроджується після кожної зупинки (саме в цей короткий період я отримував доступ до вражених файлів, але це лише кілька секунд).
Усе вище згадане - це типові симптоми вірусу типу "майнер". Саме цей варіант можна виділити створенням в системі додаткового користувача з ім'ям John (звідси і назва) і неможливістю вимкнути через реєстр. Тому, якщо стикнулися з таким - вітаю, на ваших ресурсах наживаються покидьки. Але вихід є, поки що, без форматування дисків і перевстановлення ОС. Знадобиться утиліта AVbr.exe, до 10 мб.
Існує 2 правила:
1 - не відкриється, якщо розміщено безпосередньо на робочому столі або в папці завантажень. Тому створюємо їй окрему папку, приклад робочий стіл/нова папка/нова папка/AVbr.exe. Я два рази створив папки, щоб точно спрацювало.
2 - з архіву вона запуститься, але помилка повідомить про це і закриє утиліту. Тому обов'язково розпаковуємо. Куди - див. правило 1.
Примітка, якщо навіть так не хоче - змініть ім'я на AV-br.exe. Активірус, під час роботи утиліти, буде волати про трояни і т.д. (якщо саме про цю утиліту - це можна ігнорувати, тому навіть вимкнути не завадить, можна і не вимикати, програма в звіті зверне увагу на викрутаси антивіруса, який не здатен захистити ПК).
За хвилину або дві утиліта повністю нейтралізує майнер (і тільки цей тип вірусів!), окрім цього брандмауер "забуде" про список виключень, тому не дивуйтеся. Не зайвим буде прогнати перевірку свіжою утилітою KVRT (Kaspersky virus remontal tool чи якось так) або аналогом, вони не вимагають встановлення і не вміють оновлюватися, тому, якщо треба, треба завантажувати кожного разу свіжу версію. Абсолютно безкоштовні і за рівнем перевірки (але тільки перевірка, не захист поза виконанням і т.п.) нічим не поступаються pro-версіям. "Каспер" теж зверне увагу на рятівну утиліту, але скаже, що це програма легальна, але потенційно небезпечна. Через те, що вона всеж таки перевіряє/змінює системні папки і реєстр, щоб видалити майнер. Треба ще мати під рукою "здоровий" hosts, без зайвих записів. Можна скопіювати з іншого компа або пошукати в інтернеті, вони всі однакові.
Після всіх операцій, максимум, можна почистити реєстр звичайним ccleaner-ом portable, але не принципово, перезавантажити комп й спокійно користуватися далі. Згадані програми більше не потрібні, вони не встановлюються і можна просто видалити (або зберегти десь на чорний день). А на цьому - будьте здорові, ви, ваші сім'ї і ваші комп'ютери.
