Как я победил разумный вирус на Windows без переустановки системы

Такого умного вируса, честно говоря, на своей памяти, я ни разу не видел. Он умен, хитер, и скрытен. Самым тяжелым была борьба с этим кибер-паразитом.

С чего всё началось.

В последнее время, я стал замечать, что ноутбук стал работать медленнее, больше нагревается, и вообще какая-то фигня с микрофоном (в настройках конфиденциальности не давал ползунок включения сдвинуть) . Решил загуглить: тишина, лишь куча бесполезной информации.

Подумал: зайду-ка я в диспетчер задач, проверить, может, есть что-то не то. Когда я попал в диспетчер задач, то обнаружил стандартные процессы, и лишь один из сотни заострил на себе мой взгляд: «System» со странной иконкой. Тогда-то, в моей голове и встало всё на свои места.

Как я победил разумный вирус на Windows без переустановки системы

Начало битвы за безопасность.

Когда я собрался с силами, я решился начать «войну» с этим вирусом. Почему войну? Потому что удаление этого вируса было равнозначно войне. Далее поймете почему я выразился именно так.

Для начала, я попытался действовать стандартными способами:

Найти каталог где лежит вирус
Удалить как каталог, так и вирус

Какого было мое удивление, когда меня послали куда подальше)) Сначала, диспетчер задач закрылся через 2 секунды, после того как я нажал «Свойства» (чтобы просмотреть путь до файла), но я успел просмотреть путь.

Тогда я и подумать не мог, что моему удивлению еще будет куда идти: папка-то оказалась пуста, от слова совсем. В тот момент, в моей голове родился спорный вопрос: «То-ли я дурак, то-ли лыжи не едут», т.к. такого быть не может: диспетчер задач видит, что файл запущен из этого каталога, а его там вовсе нет.

Как я победил разумный вирус на Windows без переустановки системы

С горем пополам, до меня дошла мысль: а если я всё-таки посмотрел каталог неверно. Открыл диспетчер задач, скачал скриншотер (не реклама) , и быстренько сделал скриншот этого самого файла, чтобы ориентироваться где искать этого скромника))

<i>Скрин вирусного. exe файла из диспетчера задач с его местонахождением</i>
Скрин вирусного. exe файла из диспетчера задач с его местонахождением

Итак. Нашел. Дальше, я подумал, что дело совсем простое: удалить, и забыть. Но фиг бы там плавал - в директорию ведь не зайти. Решил действовать через cmd (командную строку). Перешел в "C:\ProgramData\", и через "rd" решил удалить всю директорию вируса. Но, меня послали куда подальше, сообщив, что такого файла в помине нет, но в тоже время есть.

Как я победил разумный вирус на Windows без переустановки системы

Дальше, я прикинул что к чему, и решил действовать основательно. Вспомнил о существовании команды "DEL" с различными флагами. Вот тут, я и столкнулся с главной проблемой: регенерация. Удаляя один файл, второй воссоздавал копию удаленного файла. Проще говоря: делал всю мою работу бессмысленной.

Усиление мер против паразита.

Поняв, что я имею дело с противником гораздо умнее других противных, но тупых вирусов, до меня дошло: действовать надо основательно. Но как?

В ходе своих попыток, мне удалось выяснить следующее: он триггерится на (не реклама) "Process Hacker" (И независимо от того, открыл ли я в браузере это название, или скачал программу) и на похожие ей программы, тупо закрывая их, в т.ч. и браузер, если там открыта хоть 1 вкладка с названием программы из его внутренней базы. Также, удалось выяснить, что после пары попыток закрытия дочерних .exe файлов (их полный список выложу чуть ниже) он вообще перестает допускать до диспетчера задач, просто закрывая его (однако, такой теневой бан длится максимум 5 минут).

По итогу, чтобы победить его, я нашел программу "AnVir" (не реклама) на которую он пускай и агрился, но по крайней мере можно было изменить её название и всё (к слову, с Process Hacker так сделать нельзя было, ибо тогда он не мог подгрузить внутренние модули самого PH). Благодаря этой программе, я увидел, что он заселил все свои файлы в автозагрузку для всех пользователей.

Победа близко!

В этой самой программе, мне удалось закинуть вирусные файлы в карантин на время, чтобы они не мешали мне заниматься удалением. Далее, я нашел один интересный файл: "script.bat". И вот, передо мной все карты: вся его механика работы.

<i>Скрин вирусного скрипта</i>
Скрин вирусного скрипта

Что здесь можно увидеть? Во-первых: он палит все свои вирусные файлы, их расположение, и методы работы (на счёт этого: почти все), во-вторых: он сливал все данные о пользователе на iplogger (далее поясню для чего).
С горем пополам, удалив все его файлы через "XYplorer" (не реклама), я нашел в его папках несколько файлов, которые привлекли мой интерес: "new.xml" и "settings.dat".

Исследования и заключения.

Как я уже упоминал выше, меня заинтересовали файлы "new.xml" и "settings.dat".
При изучении файла "new.xml", честно говоря, я выпал. Вирус подделывал подписи под подписи известных (и не очень) анти-вирусов, чтобы система и Windows Defender не ругались на высокие приоритеты приложений, и их действия. Там был расположен ОГРОМНЫЙ лист анти-вирусов, и прочих производителей (наверное, на всякий случай).

Как я победил разумный вирус на Windows без переустановки системы

Файл "settings.dat" не открыл мне ничего особо нового, кроме того, что половина защиты вируса, изначально, находилась в нём, т.к. именно он ставил ограничения и вылеты, а .bat скрипт вируса лишь обеспечивал перезапуск вирусных .exe файлов и защиту от их завершения.

<i>Скрин содержания файла settings.dat</i>
Скрин содержания файла settings.dat

То есть, если подводить такие итоги, то .bat скрипт + settings.dat (настройки основного вирусного файла "winserv.exe") - создавали эффект регенерации вируса, пока тот сливал все данные (в т.ч. и пароли, скриншоты работы пользователя, и многое другое), майнил на пк, и разносил себя на другие носители (как я предполагаю).

В результате своих действий, мне удалось выловить длинный лист файлов, которые я опубликую ниже, чтобы если Вы столкнулись с данным вирусом, то без проблем могли его удалить самостоятельно.

<i>Лист всех вирусных файлов</i>
Лист всех вирусных файлов

Вынесение итогов.

Написал я данную статью в связи с тем, что пока я бился с этим противным (но отнюдь умным) вирусом, в интернете я не нашел вообще информации по его удалению (естественно, не считая рекомендации переустановки системы).

Да и переустанавливать систему не имело никакого смысла. Во-первых: даже если у Вас два диска, то вирус просто размножит себя на два диска, и так или иначе Вы с ним останетесь. Во-вторых: если у Вас нет второго диска, и Вы переустановите систему, то вы потеряете всю свою личную информацию. В-третьих: даже если Вы сольете информацию на флешку, то не факт, что вирус не заразит флешку.

UPD: Один из комментаторов указал на то, что я не добавил в статью одну важную информацию, за что ему и спасибо! Итак. Теперь к сути.

Вирус изначально был зашит в мою систему (образ которой, я качал с торрента), а также, вирус сейчас массово зашивают в установщики игр (особенно любят портить репаки Xatab*(не реклама) ). Один из примеров сайтов, где зашивают вирусы в некоторые иры: moreigr (точнее одно из зеркал, не реклама).

К сожалению, сам сайт где я скачивал образ - я потерял, однако, советую не качать сборки Windows 10 Pro 22H2, образ которой может развернуться на флешке 4GB. Один из таких образов я и подхватил. На счёт зеркала moreigr (не реклама) где был вирус тоже не скажу, ибо история давняя (было еще весной 2023), но там я решил не заморачиваться и сделал переустановку. На этом всё =)
* Xatab. Помним, любим, скорбим. Press F.

Поэтому, я надеюсь, мой пост поможет многим решить данную проблему, и очиститься от вирусов. Оставьте свое мнение в комментариях, и поделитесь: сталкивались-ли Вы с этим вирусом, и как бы Вы боролись с ним?

3434
11
73 комментария

Запуск виндовс в безопасном режиме, не не слышал. Запуск системы проверки с флешки - туда же. А так респект вам, вы его побили на его же поле, но систему все же надо основательно проверить и почистить. Отправьте файл вируса на проверку и скрипты тоже в какую нибудь антивирусную компанию.

9

Он запускался в т.ч. и в безопасном режиме, просмотрите скрин settings.dat, там имеется упоминание данной настройки. На счёт запуска с флешки, да, так можно было сделать, но к сожалению, такой возможности физически не было. Был лишь ноутбук, интернет, и всё =)

2

Ну и щитпост, давно такого не встречал. (Х)Суета ради (х)суеты. Всего-то было нужно скачать DrWeb Cureit, и на этом все. Ну МАКСИМУМ там было головняка скачать его заранее на флешку и запустить винду в безопасном режиме

4

Дело в том, что скачать DW Cureit он так просто не даст: саму программу он закрывал, а скачивать и подавно не давал. Флешек под рукой не было, других компьютеров тоже. Проще говоря - был лишь я, ноутбук, и вирус. То, что сделал я - максимум того, что вообще можно было бы сделать.

На счёт безопасного режима. Комментатору выше уже ответил по этому поводу ;)
> Он запускался в т.ч. и в безопасном режиме, просмотрите скрин settings.dat, там имеется упоминание данной настройки

4

На столько вы простые, данный вирус детектил подобные приложения и не давал их запускать даже в безопасном режиме, умник вы наш. Мне попался тот же вирус, пришлось сносить винду

4

где вы вирусы то находите? 11й год живу без антивируса, хоть бы один вирус пришвартовался...а то из интересного только жалобы дефендера на очередной кейген в софте или игре))

4

А это как с тараканами в кафе. Вроде нет, но стоит только начать травить...

2