Как обнаружить скрытый майнер на компьютере

Как найти скрытый майнер на Windows 10

Если персональный компьютер начал жутко зависать, программы открываться и работать медленно, а вентиляторы даже в состоянии покоя издают сильный шум, то у ПК явно есть проблемы. Возможно, в системе появилась скрытая, который оказывает пагубное влияние на программную и аппаратную часть оборудования. Поэтому нужно знать, как найти скрытый майнер на Windows 10.

Возможно, именно он оказывает пагубное влияние на систему. Этот программный элемент добычи криптовалют в чужой карман требует немедленного обнаружения и удаления. Сделать это можно разными способами. Вполне вероятно, что с первого раза найти скрытый манер не удастся, однако при нужных знаниях сделать это довольно легко.

Как узнать, майнит ли компьютер

Итак, наша задача – проверить компьютер на скрытый майнер. Речь мы, конечно, будем вести не о профессиональном майнинге, а об обычной, в чем-то даже мошеннической добыче биткойнов с помощью обычного компьютера обычного пользователя. Отметим, что в большинстве случаев владелецы девайсов не подозревают, что их устройство использует кто-то чужой.

Да и заметить это практически невозможно: мошенники не так глупы, чтобы сразу нагружать вашу видеокарту или процессор на 100% – хотя бывают и такие личности. Поэтому первым делом, проверьте, не загружены ли ваши основные устройства производительности до отказа. Если это так, то листайте инструкцию вниз, а если подозрительной нагрузки не выявлено – читайте по пунктам далее.

Удаление майнера с использованием отката на точку восстановления

Самым простым способом избавления от нежелательного ПО является возврат предыдущего состояния Windows с использованием точек восстановления, часто называемый откатом системы. Для этого необходимо, чтобы существовала точка восстановления, созданная в тот момент времени, когда заражение еще не произошло. Для запуска средства восстановления можно воспользоваться комбинацией клавиш Win+r и набором команды rstrui.exe в открывшемся поле ввода. Или воспользоваться главным меню – ”Программы – Стандартные – Служебные – Восстановление системы”. Далее, выбираете нужную точку восстановления и выполняете откат на нее. При успешном откате, в большинстве случаев, удается избавиться от вируса без особых усилий. Если же нет подходящей точки восстановления или откат не привел к нейтрализации вируса, придется искать более сложные пути для разрешения данной проблемы. При этом можно воспользоваться стандартными средствами операционной системы или специализированными программами, позволяющими выполнять поиск и завершение процессов, получение сведений об их свойствах, просмотр и модификацию точек автозапуска программ, проверки цифровых подписей издателей и т.п. Такая работа требует определенной квалификации пользователя и навыков в использовании командной строки, редактора реестра и прочих служебных утилит. Использование же нескольких антивирусных сканеров разных производителей, программ для очистки системы и удаления нежелательного ПО может не дать положительного результата, и в случае с майнером – обычно не дает.

Сложность выявления программ, используемых для майнинга, заключается в том, что они не обнаруживаются большинством антивирусов, поскольку фактически не являются вирусами. Есть вероятность, что антивирус может предотвратить процесс установки майнера, поскольку при этом используются не совсем обычные программные средства, но если этого не произошло, искать и удалять вредоносную (с точки зрения владельца зараженного компьютера) программу, скорее всего, придется вручную. К сведению, в июне 2017г. средний уровень выявления вредоносности подобного ПО, например, средствами известного ресурса Virustotal составлял 15-20/62 – т.е. из 62 антивирусов, только 15-20 посчитали его вредоносной программой. При чем, наиболее популярные и качественные антивирусные программы в эту группу не входят. Для хорошо известных или обнаруженных относительно давно вирусов уровень выявления вредоносности может быть выше благодаря сигнатурам антивирусных баз данных и принятия некоторых дополнительных мер разработчиками антивирусных программ. Но все это далеко не всегда позволяет избавиться от вируса майнера без дополнительных усилий, которые потребуется приложить для решения проблемы.

Ниже рассматривается практический случай заражения системы вредоносным ПО для майнинга. Заражение произошло при использовании модифицированных игровых программ, загруженных с одного из недоверенных торент-трекеров. Хотя способ заражения мог быть и другим, как и для любого прочего вредоносного ПО – переход по ссылкам на непроверенных ресурсах, открытие почтовых вложений и т.п.

Набор вредоносных программ для майнинга в интересах злоумышленников реализует следующие функции:

— обеспечение своего автоматического запуска. Одна или несколько программ выполняют модификацию ключей реестра для автоматического запуска в случае непредвиденного завершения, перезагрузки или выключения питания. Периодически (приблизительно 1 раз в минуту) ключи реестра просматриваются и в случае их нарушения (удаления, изменения) — восстанавливаются.

— автоматического запуска программы для майнинга. Программа также запускается автоматически и параметры ее автозапуска отслеживаются и восстанавливаются одной или несколькими вспомогательными программами.

Пока в памяти компьютера выполняются процессы, обеспечивающие автоматический запуск, нет смысла удалять исполняемые файлы и записи в реестре – они все равно будут восстановлены. Поэтому, на первом этапе нужно выявить и принудительно завершить все процессы, обеспечивающие автоматический перезапуск вредоносных программ.

Для поиска и устранения вируса-майнера в современных ОС можно обойтись стандартными средствами или, например, более функциональным ПО из пакета Sysinternals Suite от Microsoft

— Process Explorer – позволяет просматривать подробные сведения о процессах, потоках, использовании ресурсов и т.п. Можно изменять приоритеты, приостанавливать (возобновлять) работу нужных процессов, убивать процессы или деревья процессов. Утилитой удобно пользоваться для анализа свойств процессов и поиска вредоносных программ.

— Autoruns – удобное средство контроля автозапуска программ. Контролирует практически все точки автоматического запуска, начиная от папок автозагрузки и заканчивая задачами планировщика. Позволяет быстро обнаружить и изолировать программы, запуск которых не желателен.

В качестве вспомогательного ПО можно также воспользоваться утилитой Process Monitor , которая в сложных случаях позволяет отслеживать активность конкретных программ с использованием фильтров (обращение к реестру, файловой системе, сети и т.п.) А также удобной для поиска файлов и папок утилитой SearhMyfiles от Nirsoft, главной особенностью которой является возможность поиска файлов и папок с использованием отметок времени файловой системы NTFS (Time stamp). В качестве критериев поиска, можно задавать диапазоны времени создания, модификации и доступа для файлов и папок (Created, Modified, Accessed). Если известно приблизительное время заражения или взлома, можно собрать полный список файлов, которые были созданы или изменены в заданный период.

Но повторюсь, для поиска и удаления майнеров, как правило, достаточно использования стандартных средств Windows — диспетчера задач и редактора реестра. Просто перечисленное выше ПО проще в использовании и удобнее для поиска вредоносных программ.

Cведения об использовании ресурсов системы, отображаемые Process Explorer:

Использование Process Explorer для обнаружения майнера.

Колонка CPU отображает степень использования центрального процессора различными процессами. System Idle Process — это не процесс, а индикация программой режима простоя (бездействия). В итоге видим, что процессор находится в режиме бездействия 49.23% времени, часть процессов используют сотые доли его ресурсов, а основным потребителем CPU является процесс system.exe — 49.90%. Даже при поверхностном анализе свойств процесса system.exe , заметны факты, которые вызывают обоснованное подозрение:

— Странное описание (Description) – Microsoft Center

— Странное имя компании (Company Name) – www.microsoft.com Прочие процессы, действительно имеющие отношение к Microsoft в качестве описания имеют строку Microsoft Corporation

Более подробный анализ выполняется через контекстное меню, вызываемое правой кнопкой мышки – пункт Properties:

Использование Process Explorer для поиска майнера.

Путь исполняемого файла ProgramDataSystem32system.exe также является явно подозрительным, а переход в паку с исполняемым файлом при нажатии на соответствующую кнопку Explore показал, что и сама папка и исполняемый файл имеют атрибуты ”Скрытый” (”Hidden”). Ну, и параметры командной строки:

-o stratum+tcp:// xmr.pool. minergate.com: 45560 —donate- level=1 -u pro1004 el123234 @ yandex.ru*-p x -t 2 –k явно указывают на то, что процесс system.exe – это программа-майнер (для использования пулов pool.minergate.com).

Поле Autostart Location содержит значение n/a , что означает, что данный процесс не имеет точек автоматического запуска. Родительский процесс для system.exe имеет идентификатор PID=4928, и на данный момент не существует ( Non existent Process ), что с большой долей вероятности говорит о том, что запуск процесса был выполнен с использованием командного файла или программы, которая завершила свою работу после запуска. Кнопка Verify предназначена для принудительной проверки наличия родительского процесса.

Кнопка Kill Process позволяет завершить текущий процесс. Это же действие можно выполнить с использованием контекстного меню, вызываемого правой кнопкой мышки для выбранного процесса.

Вкладка TCP/IP позволяет получить список сетевых соединений процесса system.exe:

Использование Process Explorer для просмотра сведений о сетевых соединениях.

Как видно, процесс system.exe имеет установленное соединение локальный компьютер – удаленный сервер static. 194.9.130.94. clients.your — server.de :45560.

В данном реальном случае, процесс system.exe имел минимальный приоритет и почти не влиял на работу прочих процессов, не требующих повышенного потребления ресурсов. Но для того, чтобы оценить влияние на поведение зараженной системы, можно установить приоритет майнера равный приоритету легальных программ и оценить степень ухудшения полезной производительности компьютера.

При принудительном завершении процесса system exe, он снова запускается спустя несколько секунд. Следовательно, перезапуск обеспечивается какой-то другой программой или службой. При продолжении просмотра списка процессов, в первую очередь вызывает подозрения процесс Security.exe

Использование Process Explorer для поиска программы, выполняющей запуск майнера.

Как видно, для запуска программы Security.exe используется точка автозапуска из стандартного меню программ пользователя, и выполняемый файл Security.exe находится в той же скрытой папке C:ProgramDataSystem32

Следующим шагом можно принудительно завершить Security.exe , а затем – system.exe . Если после этого процесс system.exe больше не запустится, то можно приступать к удалению вредоносных файлов и настроек системы, связанных с функционированием вредоносных программ. Если же процесс system.exe снова будет запущен, то поиск вспомогательных программ, обеспечивающих его запуск нужно продолжить. В крайнем случае, можно последовательно завершать все процессы по одному, каждый раз завершая system.exe до тех пор, пока не прекратится его перезапуск.

Для поиска и отключения точек автозапуска удобно использовать утилиту Autoruns из пакета Sysinternals Suite:

Использование Autoruns для удаления майнера.

В отличие от стандартного средства msconfig.exe, утилита Autoruns выводит практически все возможные варианты автоматического запуска программ, существующие в данной системе. По умолчанию, отображаются все (вкладка Everything), но при необходимости, можно отфильтровать отдельные записи по типам переключаясь на вкладки в верхней части окна (Known DLLs, Winlogon, … Appinit).

При поиске записей, обеспечивающих автозапуск вредоносных программ, в первую очередь нужно обращать внимание на отсутствие цифровой подписи разработчика в колонке Publisher. Практически все современные легальные программы имеют цифровую подпись, за редким исключением, к которому, как правило, относятся программные продукты сторонних производителей или драйверы/службы от Microsoft. Вторым настораживающим принципом является отсутствие описания в колонке Description. В данном конкретном случае, под подозрением оказывается запись, обеспечивающая открытие ярлыка Security.lnk в папке автозагрузки пользователя:

C:Users Student AppData Roaming Microsoft WindowsStart Menu Programs Startup

Ярлык ссылается на файл c:programdatasystem32security.exe

Отметка времени (Time Stamp) дает дату и время заражения системы — 23.06.2017 19:04

Любую из записей, отображаемых утилитой Autoruns, можно удалить или отключить, с возможностью дальнейшего восстановления. Для удаления используется контекстное меню или клавиша Del . Для отключения – снимается галочка выбранной записи.

Скрытую папку c:programdata system32 можно удалить вместе со всем ее содержимым. После чего перезагрузиться и проверить отсутствие вредоносных процессов.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Как удалить майнер с компьютера

Зловредные скрипты майнеров вычищать обычно приходится вручную. Сначала распознается процесс, а после уже и сама директория, где расположены файлы. Большинство диспетчеров задач позволяют перейти в каталог с ответственными за запуск процесса файлами — нужно только нажать правой кнопкой на его названии и в выпадающем меню выбрать соответствующую функцию.

Если боитесь удалить что-то важное, поищите решение проблемы в интернете. Майнеры – это проблема массовая, поэтому ко многим из них в сети есть индивидуальные инструкции по удалению.

Некоторые антивирусные утилиты тоже научились бороться с майнерами. Одна из таких – Dr.Web CureIT! К сожалению, даже удаление активной части иногда не позволяет вычистить систему от заразы полностью. Если проблема серьезная, вариант только один – полная переустановка системы с форматированием жесткого диска. Тогда точно никаких вредоносных программ на компьютере не останется.

Подготовка к проверке

Перед тем, как приступать к сканированию, необходимо скачать и установить антивирусные приложения.

В идеале иметь установленный антивирус, пускай даже если это бесплатная версия. В большинстве найти скрытый в системе майнер не составит ему никакого труда.

антивирусы

Нам пригодятся следующие программы

    или Live Disk от Dr.Web. Это специальные аварийные загрузочные диски со встроенным антивирусным сканером. Главное отличительное преимущество таких дисков в том, что при загрузке с подобного носителя, все имеющиеся вирусы будут неактивны, а значит ничто не помешает их удалить. – специальная программа способная обнаружить и удалить скрытый майнер, трояны и прочее шпионское ПО.
  1. Malwarebytes Anti-Malware – проанализирует полностью весь компьютер и избавит от угроз, которые обычно не видят стандартные антивирусы.
  2. Adwcleaner – поможет избавиться от всякой заразы с браузера. На мой взгляд, просто незаменимая вещь.
  3. Ccleaner – утилита для приведения Windows в порядок. Эффективно удалит из системы остаточный мусор и исправит записи в реестре.

После того, как все утилиты будут загружены и установлены, можно переходить к проверке.

Как работают подобные программы

Все очень просто. Софт в скрытом режиме запускает майнер и подключает его к пулу, где добывается криптовалюта. Мошенники получают заработанные жертвой деньги прямо на свои кошельки. А если учесть, что в большинстве пулов нет никаких ограничений на количество подключаемых устройств/адресов, таким способом можно заработать действительно впечатляющие суммы. Нужно лишь распространить вредоносный код среди как можно большего количества устройств (пострадать могут, кстати, не только компьютеры – есть специальные майнеры даже для гаджетов под управлением Android).

Способов распространения множество:

  • Внедрение майнера в установщик какой-либо программы или компьютерной игры, особенно если он не оригинальный, а перепакованный. В прошлом году, например, один из администраторов популярного в русскоязычном сегменте сети торрента был уличен во встраивании майнеров в свои раздачи. Поэтому, если хотите предотвратить попадание вредоносного ПО любого рода на компьютер, лучше скачивайте все с официальных сайтов.
  • Заражение при физическом контакте. Если на сменном носителе, карте памяти телефона, флэш-накопителе или другом устройстве есть майнер, при подключении он вполне может перебраться на компьютер. Соответственно, следует с большой осторожностью относиться к тем гаджетам, которые часто подключаются к компьютерам в публичных местах – интернет-кафе, университетских аудиториях и пр.
  • Вредоносные ссылки. Злоумышленники могут оставлять их на сайтах – как на чужих, так и на специально приготовленных своих, в чатах и социальных сетях, отправлять по электронной почте вот имени доверенных источников. Чтобы этого не допустить, нужно внимательно смотреть за тем, с кем именно вы общаетесь, соответствует ли доменное имя сайта отображаемой странице.

В общем, способы внедрения майнеров можно перечислять еще очень долго. Некоторые вредоносные сайты даже ничего не устанавливают на компьютер жертвы, а просто добывают криптовалюту через ее браузер. Хорошо хоть в большинстве современных обозревателей присутствует система оповещений, уведомляющая пользователей ПК и других устройств о подозрительной активности.

Как узнать, майнит ли компьютер

Итак, наша задача – проверить компьютер на скрытый майнер. Речь мы, конечно, будем вести не о профессиональном майнинге, а об обычной, в чем-то даже мошеннической добыче биткойнов с помощью обычного компьютера обычного пользователя. Отметим, что в большинстве случаев владелецы девайсов не подозревают, что их устройство использует кто-то чужой.

Да и заметить это практически невозможно: мошенники не так глупы, чтобы сразу нагружать вашу видеокарту или процессор на 100% – хотя бывают и такие личности. Поэтому первым делом, проверьте, не загружены ли ваши основные устройства производительности до отказа. Если это так, то листайте инструкцию вниз, а если подозрительной нагрузки не выявлено – читайте по пунктам далее.

Как избавиться от скрытого майнера?

Провести проверку с целью подтверждения подозрений о присутствии вирус майнера на ПК позволит глубокая проверка хорошим антивирусом.

Однако, таковая позволит только уточнить присутствие и в некоторых случаях укажет на конкретное место размещения.

Выковырять злодея из жесткого диска будет куда проблематичнее, поскольку не мало программ имеют функцию восстановления из *bat файла в случае, если встроенный сканер не находит исполнительный файл.

Важно! Лучшим решением в ситуации, когда достоверно известно о присутствии вирус-майнера на ПК будет полное форматирование диска и переустановка операционной системы. Именно в таком порядке, поскольку исполняемые файлы майнеров не хранятся в тех папках, где их будут искать и не привязаны к конкретной ОС, то есть могут активироваться и после ее переустановки.

Согласно статистике, наибольшее количество заражений вирус-майнерами происходит после скачивания пиратского контента с торрент-треккеров.

Если трудности с производительностью возникли внезапно и привлекли Ваше внимание, вспомните, что из последнего было загружено и куда именно.

Важно удалить файлы, из которых установился вирус перед его удалением, чтобы при перезапуске все не вернулось на круги своя.

Слабый вирус-майнер

Поскольку пишут их под заказ, сложность и умение выживать напрямую зависят от цены. Для злоумышленников, не имеющих возможности массово заражать ПК и построить крупную прибыльную бот-сеть покупать дорогие скрипты не удобно, следовательно, они ограничиваются дешевыми и простыми в надежде на то, что “клиенты не заметят проблем”.

Настройки вредоносного ПО содержат и возможность редактирования нагрузки.

Первым делом, после удаления всего подозрительного с жесткого диска открываем диспетчер задач и закрываем все процессы, которые не знаем или которые занимают более 10% мощности.

Обращайте внимание на загруженность CPU (процессор) и GPU (видеокарта) сверх нормы и закрывайте их по очереди.

Не имеющий возможности восстановления или автозапуска после перезагрузки вирус-майнер уничтожен.

Сложные программы скрытого майнинга

К ним относятся версии, умеющие скрывать свое присутствие в системе, отключающиеся пред открытие диспетчера задач или сами его закрывающие.

Некоторые версии даже отслеживают запуск антивируса и удаляют исполнительную часть, восстанавливаясь после перезагрузки.

Несмотря на кажущуюся сложность избавления от проблем, оно возможно, главное четко следовать алгоритму поиска и удаления вирус майнера с ПК и запастись терпением:

  • Запустить глубокую проверку антивирусом, обновленным до последней версии;
  • Дождаться результата проверки и удалить все, что антивирус считает подозрительным;
  • Перезагружаем ПК и входим в меню BIOS, где выбираем загрузку операционной системы с расширенными настройками Advanced Boot Options;
  • Данный режим дает большое количество вариаций работы с системой, но нас интересует только безопасный режим с сетевой поддержкой (Safe Mode w Networking);
  • Запускаем систему и авторизуемся под своими учетными данными:
  • Находим в сети и скачиваем качественное ПО для работы со шпионскими программами, например, Malwarebytes Anti-Malware;

  • В выбранном режиме, поисковое ПО будет находить все подозрительное, не входящее в базовые настройки Windows и автоматически удалять. Более того, будут удалены данные из системного реестра и подгружены базовые файлы для восстановления работоспособности ряда программ, часть файлов которых показалась подозрительной.

Оцените статью
Fobosworld.ru
Добавить комментарий

Adblock
detector