Komputer spowalnia? A może ktoś kopie Bitcoiny...?

Wolniejsze działa systemu operacyjnego zdarza się od czasu do czasu każdemu. Wówczas najczęściej uruchamia się aplikację do czyszczenia systemu i po sprawie. Czasem jednak ti nie pomaga, a sprawa może sięgać znacznie głębiej...

Ten tekst można dotyczy mojego własnego doświadczenia z dość nieprzyjemnymi szkodnikami w systemie oraz zawiedzenia na aplikacjach, które mają dbać o bezpieczeństwo. System ten to konkretnie Windows 10 Home. Uruchomienie odbyło się normalnie, logowanie także, zobaczyłem pulpit, wszystko gra. Pierwsza rzecz to włączenie Firefoxa. Również bez problemu, jednak w pewnym momencie, podczas przewijania jakiejś witryny, nagle przeglądarka się zawiesiła - dosłownie na 2-3 sekundy. Jako że było to dzień po aktualizacji do edycji Quantum 61.0, położyłem to na karb zmian i poprawek. Wiadomo, zawsze ma być lepiej, ale jakoś tak dziwnie zawsze okazuje, że coś jednak nie do końca działa jak trzeba.

Jednak, co gorsze, kilkanaście sekund później Firefox zawiesił się znowu - tym razem przy kilku otwartych zakładkach. No cóż, to już było irytujące, a co gorsze - wszystko powiesiło się tak, że nie mogłem nawet ruszać kursorem po ekranie. Jak zawsze w takiej sytuacji nacisnąłem klawisz Windows. A tu.... nic. Żadnej reakcji. No to druga opcja, przejście do Menadżera Zadań, czyli Ctrl+Alt+Del. I znowu brak reakcji - a to już świadczy, że coś jest mocno nie tak. Może być gorzej? Może. Nagle ekran uległ rozmazaniu - jasne strony zastąpiła ciemność z chaotycznie rozproszonymi, białymi pasmami. Pomyślałem oczywiście o karcie graficznej (NVIDIA GeForce GTX 550 Ti). Jako że już trochę mi służy, a ostatnio w wolnych chwilach pogrywałem w kilka wymagających gier (jak Lust of darkness), mogła się po prostu przemęczyć i stąd zamieszanie. No więc reset komputera - wszystko uruchomiło normalnie, na ekranie ani śladu artefaktów, ale nie dostałem nawet szansy włączenia jakiejkolwiek aplikacji, ponieważ kursor był "martwy" - nie dało się nim ruszyć w żadną stronę. I powtórka z rozrywki - klawisz Windows nie działa, Menadżera Zadań nie idzie wywołać. Po kilkunastu sekundach coś drgnęło i mogłem operować myszą - chociaż baaaardzo powoli.

CCleaner

CCleaner

No cóż, dawno nie czyściłem systemu - może to dlatego? Uruchomiłem CCleaner, a po dość szybkiej analizie znalazł niecałe 480 MB cyfrowego śmiecia w systemie. Po jego usunięciu przeleciałem jeszcze po rejestrze - tu dosłownie kilka starych kluczy po odinstalowanych aplikacjach. Zamknąłem CCleanera, uruchamiam Firefoxa i... znowu to samo! Kolejna myśl - coś nie tak z Firefoxem. Ale Opera też ledwie się uruchamia! No cóż, sięgnąłem po siłę wyższą - używam na co dzień Avast Free Antivirus, który z dumą informuje: Jesteś chroniony. Uruchomiłem inteligentne skanowanie i po jakiś 30 minutach otrzymałem wynik - system jest czysty jak łza. Jak myślicie, czy po tym Windows 10 działał, jak należy? Ależ skąd! Jako że parę razy w przeszłości zdarzyła się sytuacja, że coś prześliznęło obok Avasta, pobrałem z sieci Malwarebytes Anti-Malware.

Avast

Avast

Ponieważ wersja testowa działa przez 14 dni, dostałem pełen zestaw narzędzi do działania, więc zacząłem od pełnego przeskanowania. Po pierwszej minucie znalazł już 3 szkodniki. Do końca skanowania wyłapał ich... 15. Jak się okazało, w moim systemie uruchomiło się właśnie tylu kopaczy krypotwaluty - RiskWare.BitCoinMiner. A dokładnie wyglądało to tak:

-Szczegóły raportu-

Data skanowania: 28.06.2018

Czas skanowania: 09:51

-Informacje o oprogramowaniu-

Wersja: 3.5.1.2522

Wersja komponentów: 1.0.374

Aktualna wersja pakietu: 1.0.5663

Licencja: Wersja próbna

-Informacje o systemie-

System operacyjny: Windows 10 (Build 16299.492)

Procesor: x64

System plików: NTFS

-Wyniki skanowania-

Typ skanowania: Pełne skanowanie

Skan zapoczątkowany przez: Ręcznie

Wynik: Ukończono

Obiekty przeskanowane: 517898

Wykryte zagrożenia: 15

Zagrożenia poddane kwarantannie: 15

Czas, który upłynął: 34 min, 50 s

-Opcje skanowania-

Pamięć: Włączony

Autostart: Włączony

System plików: Włączony

Archiwa: Włączony

Rootkity: Wyłączony

Heurystyka: Włączony

PUP: Wykrywanie

PUM: Wykrywanie

-Szczegóły skanowania-

Proces: 2

RiskWare.BitCoinMiner, C:\PROGRAM FILES (X86)\BRTSVC\BRTSVC.EXE, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, C:\PROGRAM FILES (X86)\BRTSVC\BRTSVC.EXE, Dodano do kwarantanny, [918], [535269],1.0.5663

Moduł: 2

RiskWare.BitCoinMiner, C:\PROGRAM FILES (X86)\BRTSVC\BRTSVC.EXE, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, C:\PROGRAM FILES (X86)\BRTSVC\BRTSVC.EXE, Dodano do kwarantanny, [918], [535269],1.0.5663

Klucz rejestru: 6

RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\BlockchainResearchTools, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4C939660-1691-4FF9-AB02-4D73524CDDEC}, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\LOGON\{4C939660-1691-4FF9-AB02-4D73524CDDEC}, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\BlockchainResearchToolsSvc, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{53787B9C-3E6E-4125-83D5-EC7A29607FD4}, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOOT\{53787B9C-3E6E-4125-83D5-EC7A29607FD4}, Dodano do kwarantanny, [918], [535269],1.0.5663

Wartość rejestru: 0

(Nie wykryto zagrożeń)

Dane rejestru: 0

(Nie wykryto zagrożeń)

Strumień danych: 0

(Nie wykryto zagrożeń)

Folder: 0

(Nie wykryto zagrożeń)

Plik: 5

RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\TASKS\BlockchainResearchTools, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, C:\WINDOWS\SYSTEM32\TASKS\BlockchainResearchToolsSvc, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, C:\PROGRAM FILES (X86)\BRTSVC\BRTSVC.EXE, Dodano do kwarantanny, [918], [535269],1.0.5663

RiskWare.BitCoinMiner, C:\WINDOWS\TEMP\TMP431A.TMP.EXE, Dodano do kwarantanny, [918], [508940],1.0.5663

RiskWare.BitCoinMiner, C:\USERS\MRREC\APPDATA\LOCAL\TEMP\TMP15D7.TMP.EXE, Dodano do kwarantanny, [918], [508940],1.0.5663

Sektor fizyczny: 0

(Nie wykryto zagrożeń)

WMI: 0

(Nie wykryto zagrożeń)

Malwarebytes

Malwarebytes

Oczywiście cała piętnastka natychmiast powędrowała do kwarantanny, a stamtąd poszła do likwidacji. Po restarcie komputera system pracuje bez najmniejszych opóźnień. Gdyby w tle działał jeden kopacz - nie byłoby problemu i pewnie bym nawet nie zauważył, że coś jest nie tak. Jednak nagły szturm takiej ich ilości po prostu pożarł wszystkie zasoby i sprawił, że komputer powiesił na dobre! Po ich likwidacji wszystko wróciło do normy. A po co właściwie o tym piszę? Otóż mam pretensje do Avasta, który nie wykrył aż takiej ilości szkodników pracujących w systemie, również i CCleaner - choć to nie antywirus - nie zauważył niczego podejrzanego ani w plikach, ani w rejestrze. Dlatego jeśli i Wam wydarzyłaby się podobna sytuacja - czyli system szwankował, ale antywirus niczego nie znajdował, polecam sprawdzić go za pomocą Malwarebytes.