Добрый день, дорогие друзья!
Сегодня я хотел бы представить вашему вниманию случай, с которым пришлось столкнуться примерно месяц назад.
Клиент принес ноутбук, основная жалоба - дикие тормоза при запуске онлайн-игр, антивирус стоит, но лицензия просрочена (т.е. по сути - его нет).
У меня есть определённый алгоритм проверки в таких случаях, это проверка автозапуска через диспетчер задач + autoruns Руссиновича, проверка и восстановление системных служб и файлов через командную строку Dism() + sfc(), прогон системы через DrWeb Cureit + установка коммерческого антивируса (выбирает антивирус и оплачивает лицензию, как правило, сам клиент). Но в данном случае проблема не решилась.
В автозагрузке ничего не было, антивирус ничего не нашел, dism + sfc что-то восстановили, но проблему это не решило. Из общения с клиентом поступила информация, что некоторое время назад, одним из домочадцев была скачана с какого то стороннего ресурса то ли WOT, то ли что-то подобное.
И хотя, как я писал ранее, антивирус ничего не нашел, меня не покидало ощущение, что именно при установке онлайн игры с "левого" ресурса система была инфицирована каким-то зловредом. Одним из косвенных фактором было то, что ноутбук сильно тормозил именно при запуске онлайн-игры.
И поскольку тенденция такова, что вирусописатели достаточно давно перешли на рельсы перевода вирусов с деструктивных манипуляций (стирание файлов и т.д.) к манипуляциям, направленным на зарабатывание денег (как то: шифрование данных пользователя с последующим вымогательством денег за расшифровку, кража учетных данных, в т.ч. данных банковских карт, скрытый майнинг и т.д.), то я стал думать в этом направлении.
Так как у клиента данные не пострадали и с конфиденциальностью проблем вроде как не было, я стал искать способы проверки операционной системы на предмет майнинга. В голове тут же стали вспоминаться спецутилиты, которые мониторят систему на наличие открытых портов и сетевой активности и возможный долгий поиск зловреда. Но, к счастью, все оказалось намного проще.
Пояндексив немного в сети по данной тематике, я наткнулся на упоминание утилиты нашего соотечественника под названием «MinerSearch». Отыскав на гитхабе страницу разработчика, я скачал новейшую на тот момент версию и попытался запустить её на проблемном ноутбуке. Сначала меня постигла неудача - программа наотрез отказывалась запускаться, выводя ошибку про превышение максимального размера окна консоли. Я отписался об этой проблеме разработчику там же, на гитхабе, и в течении пары часов получил обратную связь от автора с вариантами решения проблемы. Одна из рекомендаций в итоге сработала, программа запустилась и проверив систему, удалила 38 копий майнера.
Ноутбук был перезагружен, последующая проверка показала, что система больше не тормозит. Честно говоря, я был впечатлен тем, что программа нашла то, что не смог обнаружить коммерческий антивирус. Но тут конечно, нужно учитывать, что «MinerSearch» под это и создавалась. Она не может заменить традиционный антивирус, это нужно понимать.
В заключение, привожу ссылку на страницу с файлами программы:
https://github.com/BlendLog/MinerSearch/releases
Поблагодарить автора можно по эти данным (по желанию):
https://github.com/BlendLog/MinerSearch/issues/6#issuecomment-2316161559