Как обнаружить и удалить скрытый майнер в Windows

Майнер есть? А если найду?

Злоумышленники повадились майнить криптовалюту. На вашем компьютере, за ваш счет — и без вашего ведома.

11 сентября 2017

За последнее время вы наверняка хоть раз да слышали о таком явлении, как майнинг — и о том, как стремительно оно набирает обороты. В общем, тенденция такова: майнить, то есть достраивать блоки в блокчейне и получать в награду за это криптовалюту, хочет все больше людей, и они придумывают для этого все более изощренные способы. В том числе — незаконные. И в том числе они норовят сделать это за ваш счет.

Чем опасен скрытый майнер

Майнер заставляет ваш ПК работать на максимальном уровне производительности, а значит, даже при выполнении несложных офисных задач компьютер может изрядно тормозить. Длительная работа на пределе своих возможностей рано или поздно скажется на «железе».

В первую очередь может пострадать видеокарта, процессор, оперативная память и даже система охлаждения, которая просто не сумеет справиться с ежедневными стресс-тестами.

Первый признак присутствия майнера — торможение на простых задачах и незамолкающий кулер.

Также майнеры вполне могут получить доступ к вашим персональным данным, хранящимся на компьютере. Здесь в ход может пойти всё: начиная от простых фотографий и заканчивая данными различных аккаунтов и электронных кошельков. А это уже очень опасно.

Находим скрытый майнер на компьютере. Шаг первый: понимаем принцип работы.

Вы наверняка уже догадались, что скрытый майнер можно не заметить, особенно если ноутбук или компьютер не очень мощны. Однако нам поможет важное условие скрытой работы bitcoin miner: это предварительный запуск программ с правами администратора.

Да, вот так банально майнеры и проникают на компьютер. Вы получаете какое-то письмо со ссылкой, переходите по ней, устанавливаете вроде бы полезную программу (например, драйвер или браузер), а скрытый майнинг закачивается вместе с ней. После этого программа майнинга начинает работать в автономном режиме, подключаясь через интернет к койн-фермам.

Так что первым превентивным шагом к чистому компьютеру является полная разумность в распределении администраторских прав на программы. Не лишним будет и забыть о скачивании кряков, пиратского софта, да и торрентами лучше не пользоваться, хотя бы просто потому, что через VPN программы сидеть и проще и безопаснее.

Шаг второй: отключаем доступ к майнинг-ферме.

Для начала просто выключите интернет, а затем перейдите по пути C:WindowsSystem32driversetc и откройте с помощью программы «Блокнот» файл hosts. Внимание! Эта папка является системной и скрытой, поэтому разрешите показ скрытых файлов, а также их модификацию в настройках вашей Windows системы.

В файле hosts скрытый майнер обычно прописывает путь до своей фермы, поэтому вам нужно удалить все подозрительные IP-адреса. На примере ниже цветным выделение обозначено место, где добытчик биткоинов указал сетевой путь.

Кстати имейте в виду, что если ваш провайдер оставляет логи ваших путешествий в Интернете, то вирусный майнинг может легко по ним вернуться на ваш компьютер. Поэтому рекомендуем использовать программы VPN без записи логов.

Шаг третий: краткий абзац о том, как избавиться от майнера.

Если ваш компьютер уже майнят, то тянуть смысла не имеет. Заряжаем оружие по полной и качаем любой автономный антивирус.

Ставим антивирус на проверку компьютера и ждём. Данные программы удалят примерно 60% всех известных видов майнеров, особенно хорошо антивирусы справляются с «детскими» видами ферм, которые просто прячутся за известными именами файлов – chrome.exe, svchost.exe и другими.

Если вы подозреваете какой-то конкретный файл, то проверьте его онлайн-антивирусом.

Следующую пачку процентов заражения удаляем с помощью анти-руткита TDSSKiller. Эта программа от Касперского чистит все действительно скрытые от глаз пользователя процессы.

До конца очищаем систему от скрытых майнеров с помощью автоматической чистки реестра программой CCleaner или (для самых опытных) прибегая к полной переустановке системы.

Как обнаружить и избавиться от майнера?

Существует два способа борьбы: ручной и автоматический. Рассмотрим, как работают оба способа на примере операционной системы Windows.

Ручное удаление

• Откройте Диспетчер задач. В Windows это можно сделать, нажав CTRL + ALT + DELETE, а потом перейти в раздел «Процессы» (Windows 7) или «Подробности» (Windows 10). Все они будут показывать одну и ту же информацию про использование ресурсов процессора разными программами и приложениями.
• Найдите программу со странным названием (обычно — хаотичный набор букв), которая расходует большую часть ресурса процессора (более 50% ЦП в течение длительного периода времени). Лучше это делать тогда, когда не запущены никакие другие программы – так картина будет более показательной.
• Загуглите найденное название, и, если не находите соответствующей информации, предпринимайте меры по его удалению.
• Нажмите комбинацию «WIN+R», откройте реестр и введите слово «redit», теперь — «Ок».
• Через комбинацию «Ctrl+F» откройте поиск и введите название подозрительной программы или приложения, нажмите «Найти далее».
• Все, что найдете в процессе поиска, успешно удаляйте с компьютера.
• Перезагрузите компьютер и проверьте его функциональность.

Так как удалить майнер не просто, к сожалению, этот способ не всегда оказывается действенным.

Если предыдущий метод оказался неэффективным, попробуйте сделать возврат системы до безвирусного состояния Windows, по-другому это называется “откат системы”. Для этого необходимо, чтобы в системе существовала точка восстановления, созданная в тот момент, когда заражение еще не произошло.

Для установки приоритета восстановления нужно сделать следующее:

1. Воспользуйтесь комбинацией клавиш «WIN+R» и в открывшемся окне наберите команду rstrui.exe. То же самое можно сделать через главное меню: «Программы – Стандартные – Служебные – Восстановление системы».
2. Выберите нужную точку восстановления и выполните откат на нее.

При успешном откате, в большинстве случаев, удается избавиться от опасного вируса без особых усилий.

Автоматическое удаление

Используйте антивирусные программы и приложения, которые предназначены для удаления вредоносного ПО в сфере майнинга криптовалют — SpyHunter, ReImage, Malwarebytes, McAfee, Sysinternals Suite от Microsoft и другие.

Также подойдут и стандартные антивирусы, как Comodo и DrWeb. DrWeb имеет версии для Windows, Mac, Linux и даже для Android. А создатели антивируса Comodo утверждают, что их сервис проводит сканирование, находит и удаляет вредоносные программы для безфайлового майнинга.

Теперь о вредоносном ПО для майнинга криптовалют вы знаете достаточно, чтобы вовремя распознать «врага» и принять соответствующие меры. Кстати, последние модификации вируса майнинга могут способствовать пропаже личных данных, выводить операционную систему Windows из строя и открывать ходы для проникновения новых угроз. Так что держите руку на пульсе вместе с нами — а мы будем и дальше рассказывать о полезных и важных вещах из мира криптовалют.

Как обнаружить вирус майнер на компьютере при помощи диспетчера задач

Как правило, несложно заметить изменения в работе ПК. Еще вчера все было нормально, но неожиданно, без видимых на то причин, техника начинает греться и сильно тормозить. Такое поведение ПК – сигнал, что пора запускать проверку всех систем. Простые вирусы обнаружить и удалить легко, а вот с хитроумными и хорошо маскирующимися нужно будет поработать.

Найти тайные майнеры можно с помощью регулярного наблюдения за «Диспетчером задач». В Windows он открывается через меню или нажатием клавиш Ctrl + Alt + Del или Ctrl + Shift + Esc. Закройте все программы, откройте «Диспетчер задач» и при полном своем бездействии, когда исключены даже движения мышкой, в течение 10-15 минут понаблюдайте за процессами.

Если заметите какую-то активность, то это повод насторожиться. Возможно, вирус продолжает нагружать мощности компьютера, когда все остальные программы закрыты. Источник активности можно уточнить на вкладке «Подробности».

Есть такие майнеры, которые не используют центральный процессор, а кроются в видеокарте. В «Диспетчере задач» в устаревших версиях Windows их не увидеть. Как же обнаружить такие майнеры на компьютере? Помогут специальные приложения, например, AnVir Task Manager или Process Explorer. От них не скроется ни один вредоносный объект.

Существуют майнеры, способные прекращать работу «Диспетчера задач» через несколько минут после ее начала. Это тоже должно насторожить пользователя.

Помимо перечисленных, есть еще веб-майнеры, которые подключаются к компьютеру через определенный сайт. Если в «Диспетчере задач» видна чрезмерная работа браузера, нужно срочно проверить устройство на наличие скрытых угроз.

Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Лицкевич Эдуард
02:44:24 2021-10-09

GREEN
11:25:46 2021-08-12

lexa9135
16:23:44 2021-07-04

achemolganskiy
10:19:49 2021-07-02

DarkCat09
09:51:12 2021-07-02

Было бы интересно прочитать, как вообще рабоиают онлайн-майнеры в браузерах.
Кстати, от них может защитить расширение Dr.Web Link Checker?

uropb
03:30:31 2021-07-01

Лишний раз заглянул в настройки и убедился, что галочка у блокировки пулов для добычи криптовалют на месте. Спасибо специалистам DrWeb за их работу.

Геральт
21:40:02 2021-06-30

anatol
20:59:45 2021-06-30

Сергей
18:34:38 2021-06-30

Спасибо за информацию.За здоровьем компьютера нужно следить.Если вовремя обнаружить симптомы,которые вы описали,то и выявление гадости станет легче!

Slava90
16:17:01 2021-06-30

Спасибо за полезную статью и рекомендации. Пока вроде такую заразу не ловил, Drweb надежно защищает пк.

Leonid Shkolnikov
13:53:30 2021-06-30

Спасибо! Галочку в родительском контроле от майнинга установил. Читать новости полезно. Спасибо ещё раз.

jabra2016
12:20:48 2021-06-30

у меня броузер часто тормозит загрузку веб-страниц и сайтов, порой мне думается что может есть скрипт в броузере что майнит так. я поставил др.Веб и проверил. ничего не обнаружил. однако когда я удаляю бройзер и чищу потом систему от «мусора» system-tools, и потом опять устанавливаю по новому броузер, то снова быстро сайты загружаются, словно «летает», но со временем (5 мес. и более) опять начинает притормаживать. В броузере я чищу и кэш, и все временные папочки и тп. Но не помогает, и причин я не знаю.

Alexander
08:24:11 2021-06-30

Проникновение, воровство и подстава. Именно такими словами можно назвать попытку недоброжелателя использовать кого-либо из юзеров или предприятие-кормильца скрытно для личных целей майнинга.

Конечно, необходимо защищаться! И Dr.Web Security Space — это отличный инструмент для ограждения себя любимого и своего девайса от «телодвижений» постороннего нахала.

И настройки «по умолчанию» достаточны для отсылки злобных пройдох куда подальше в болото. Но всё же, лучше провести дополнительную «рихтовку» своего любимого Dr.Web Security Space.