Сергей

WangWang и Майнер от Alibaba, приплыли...

14 сообщений в этой теме

Началось всё пару недель назад, заметив что процессор в простое напрягается заглянул в диспетчер задач и увидел:

dS9JeBg.jpg

не хило так да?

WangWang скачан был за эти две недели с офф. сайта Алибабы несколько раз, версию с вирусом отметаем, на компьютере установлен антивирусник платный (я понимаю что это не панацея, ну службу которая устанавливается с WangWang он пропускает) .При этом эта служба майнит только при подключённом интернете и то только тогда когда пришлют задание по-видимому. Вот к стати и у китайцев тоже самое https://www.zhihu.com/question/267541358

да, юным хакерам, при попытке удаления или отключения службы alibaba pc safe service, сама WangWang переустанавливает службу и включает её автозапуск. Отрубаем интернет, завершаем службу и дале в cmd от админа: 

takeown /f  "C:\Program Files (x86)\AlibabaProtect"
sc delete AlibabaProtect

rmdir /s /q "C:\Program Files (x86)\AlibabaProtect"

И что теперь делать? этот WangWang я естественно снёс, как общаться то с продавцами? варианты?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ничего себе, интересно. Надо будет у себя проверить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проверил у меня он не загружает CPU в фоне.

1588314853021.jpg.757a4a226546cc4dc9032a433ba647c1.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

travelekb не, там по заданию служба начинает майнить, вчера проводил эксперимент, оставил комп на 6 часов в простое из них 4 часа промайнил. Алгоритм выбора компа пока что не понятен - друг появится в сети попрошу чтоб в IDA посмотрел чё делает процесс во время такой дикой нагрузки. Изучение в x64dbg пока что результатов не дали.

Сам если честно никогда не верил в такие теории - но вдруг тут столкнулся с подобным. Электричество то не резиновое :icon_am: мне платить за него.

ФуФуФу антивирусник Malwarebyte от поляка ну такое :icon_cy:

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если комп мощный, то поставь виртуалку и через нее общайся когда надо, сами китайцы редко начинают диалог с покупателем, так что не обязательно все время включенным держать.

Я то думал, что это антивирус, потому как активировался когда с диском были операции. Может просто в период простоя на вирусы систему начинает проверять?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 минуту назад, kROOT сказал:

Я то думал, что это антивирус, потому как активировался когда с диском были операции. Может просто в период простоя на вирусы систему начинает проверять?

не бывает антивирусов которые так загружают проц, удивительно что вообще только сам проц грузит, а не видеокарту.

 

11 минуту назад, kROOT сказал:

Если комп мощный, то поставь виртуалку

уже подумал об этом, скорее всего так и сделаю

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Господа, прошу помочь с данным вопросом!

Пробую как описано выше, не удаляется и в процессе так же висит.

Как эту Китайскую хрень снести?

В 01.05.2020 в 00:13, Сергей сказал:

Началось всё пару недель назад, заметив что процессор в простое напрягается заглянул в диспетчер задач и увидел:

dS9JeBg.jpg

не хило так да?

WangWang скачан был за эти две недели с офф. сайта Алибабы несколько раз, версию с вирусом отметаем, на компьютере установлен антивирусник платный (я понимаю что это не панацея, ну службу которая устанавливается с WangWang он пропускает) .При этом эта служба майнит только при подключённом интернете и то только тогда когда пришлют задание по-видимому. Вот к стати и у китайцев тоже самое https://www.zhihu.com/question/267541358

да, юным хакерам, при попытке удаления или отключения службы alibaba pc safe service, сама WangWang переустанавливает службу и включает её автозапуск. Отрубаем интернет, завершаем службу и дале в cmd от админа: 


takeown /f  "C:\Program Files (x86)\AlibabaProtect"
sc delete AlibabaProtect

rmdir /s /q "C:\Program Files (x86)\AlibabaProtect"

И что теперь делать? этот WangWang я естественно снёс, как общаться то с продавцами? варианты?

Сергей объясните как снести эту прогу 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Виталий сказал:

Как эту Китайскую хрень снести?

Ну, как вариант, установить вотчдог, например Process Lasso, и либо запретить в нём запуск нежелаемых процессов, либо ограничить им использование процессора, либо создать правило, прекращающее конкретный нежелательный процесс, если он использует процессор более чем, скажем, на 20% в течение 5 секунд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Виталий 

win+s -> пишем слово службы -> открываем службы -> ставим тип запуска вручную -> перезагружаем комп

потом это:

В 01.05.2020 в 00:13, Сергей сказал:

и дале в cmd от админа: 


takeown /f  "C:\Program Files (x86)\AlibabaProtect"
sc delete AlibabaProtect

rmdir /s /q "C:\Program Files (x86)\AlibabaProtect"

что такое cmd объяснять не буду.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте,

обнаружила Alibaba PC Safe Service в процессах, далее папку  C:\Program Files (x86)\AlibabaProtect . Ни остановить процесс, ни удалить папку не удаётся. Выше указанные методы тоже не помогают через cmd(отказано в доступе).  Я не слишком разбираюсь во всём этом...объясните, пожалуйста, как всё таки избавиться от этой хрени?  и какой вред она несёт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
16 минут назад, skmarieta сказал:

Здравствуйте,

обнаружила Alibaba PC Safe Service в процессах, далее папку  C:\Program Files (x86)\AlibabaProtect . Ни остановить процесс, ни удалить папку не удаётся. Выше указанные методы тоже не помогают через cmd(отказано в доступе).  Я не слишком разбираюсь во всём этом...объясните, пожалуйста, как всё таки избавиться от этой хрени?  и какой вред она несёт?

Сносите ее смело ко всем чертям. Сейчас мессенджер для общения наконец-то встроили в браузер и дополнительно устанавливать ничего не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, travelekb сказал:

Сейчас мессенджер для общения наконец-то встроили в браузер

Угу. Раньше я спокойно, в одном мессенджере, общался с покупателями что с тао, что с 1688, если мне писали - он мигать начинал, нужно было вставить скриншот - тут же инструмент есть.

Теперь - отслеживать на двух площадках, а не написал ли кто тебе? Скриншоты... ладно, я их и по другому делать умею.

Единственное преимущество - в браузере уже есть переводчик...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

52 минуты назад, travelekb сказал:

Сносите ее смело ко всем чертям. Сейчас мессенджер для общения наконец-то встроили в браузер и дополнительно устанавливать ничего не нужно.

хорошо, а как это сделать?

14 минуты назад, skmarieta сказал:

 

хорошо, а как это сделать?

снимаю вопрос, спасибо большое, метод сработал, после перезагрузки всё удалилось

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вангванг в браузере конечно хорошо, но например вдруг китаец чтото напишет и не поступит уведомление.
Мне кажется я поборол эту фигню, Загружаемся в безопасном режиме. Поставил все ограничивающие права на все каталоги и файлы типа readonly hidden system и т.п. каталога C:\Program Files (x86)\AlibabaProtect
Зашел в службы и задал вход в систему от учетной записи Гость без пароля (обзор-дополнительно-поиск), в результате прав у службы не хватает, чтобы запуститься в закрытом каталоге.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!


Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.


Войти сейчас