Как удалить скрытый майнер?
На этой неделе заметил, что видеокарта даже при отсутствии запущенных программ и игр начала жестко шуметь (а такое бывает только в тяжелых играх), зашел в Process Hacker, и увидел там процесс cmd.exe, а команда была на запуск майнера ethermine.org (на скрине видно)
Нажимаю Terminate, и через 3 минуты снова появляется. Антивирус не находит ничего при полной проверке.
Как удалить его? 
- Вопрос задан более года назад
- 2629 просмотров
Средний 8 комментариев
- Вконтакте
irdaxirdaxirdax, вы коммент и ответ не различаете? Нет, коммент это не ответ.
Очень хорошо, что не играете! Без сарказма. Но где-то таки поймали майнера-то… вполне возможно, кроме майнера там где-то пасется ботнет.
- Вконтакте
- Вконтакте
- Загрузиться с LiveCD и сделать полную проверку DrWeb или Kaspersky
- Удалить вручную. Я использую для этого связку Autoruns + Anvir Task Manager
- Вконтакте
- Вконтакте
1.Запуск планировщика задач от имени Администратора — просмотр всех задач в нём, в котором будет запуск этой строки — как на скрине — «cmd —cinit-find-e —pool=stratum:// . »
Эту задачу удалить!
2. Открыть regedit:
Правка — Найти — оставляем только галочку «Имена разделов» в строке поиска пишем Run — ищем
В каждом найденом разделе ищешь строку со своего скрина «cmd —cinit-find-e —pool=stratum:// . »
Если есть — удаляешь!
3. Кнопка Пуск — ищешь пункт «Автозагрузка» или «Autostart» открываешь и смотришь тоже самое там, если есть удаляешь!
4. Финальный вариант — скачиваешь пакет утилит Sysinternals, запускаешь из них Autoruns от имени админа
Ищешь там свою строчку — если найдено — удаляешь!
Все, потом перзагрузка и смотришь на результат
Скрытый майнер на компьютере: как на вас зарабатывают
Проблема скрытого майнинга громко освещалась в 2017 году из-за обнаруженных плагинов на веб-сайтах. С ними посетители передавали свои ресурсы для майнинга, пока находились на странице. Теперь вышло немало защищающих плагинов, которые предупреждают о такой активности. Более актуальна становится проблема, как найти и удалить скрытый майнер на компьютере или телефоне. Расскажем в этой статье.
Что такое скрытый майнинг
Скрытый майнер — это зловредная программа, которая заражает устройство и использует его ресурсы для майнинга. Обычно для экономического эффекта нужно заразить множество компьютеров, которые в совокупности будут работать как одна сеть и давать доход.
Ранние майнеры были более примитивны. Они загружали CPU компьютера, так что их легко обнаруживали. Теперь программы работают более изощренно. Например:
- файл замаскирован под системный и носит название типа «system». Не ждите, что он будет иметь в названии XMR или «майнер», так что жертва может воспринимать программу как обязательную.
- Майнер, типа XMR Stak, может запускаться в нерабочее время, подстраиваться под активность пользователя. Когда компьютер нагружен игрой, майнер не работает, чтобы не вызывать подозрений.
- ПО не нагружает устройство на полную, так что тормоза можно не заметить никогда.
- В корпоративных сетях скрытый майнер на компьютере может быть настроен на локальные пулы, чтобы системный администратор не увидел странный трафик.
В большинстве случаев используются:
- исходники с Minergate
- XMR Stak
- самостоятельные сборки.
Главное для злоумышленника — добиться скачивания файла на компьютер. Если антивируса нет или кодовой базы вируса нет в его библиотеке, запускается autorun.bat. ПО начинает работать. При компиляции программы указывается, что она должна работать как «скрытая», но есть и более изощренные трояны. Скрытый майнер прописывает себя в автозагрузку даже без прав администратора.
Признаки заражения
- Вы использовали флеш-карты без проверки антивирусом,
- Вы обновляли программы, но не уверены, был ли это официальный сайт, кликали что-то на сайтах, открывали вложения почты и т. д. Особенно популярно распространение через читы к популярным онлайн-играм!
- Компьютер стал тормозить. В диспетчере неизвестная программа, которая не реагирует на закрытие.
- Устройство странно запускается или не может нормально завершить работу, перезапускается.
- Устройство усиленно работает, когда вы не работаете на нем.
Как сделать или купить скрытый майнер, мы не можем рассказать в этой статье в деталях, даже ради интереса. В самых простых (поэтому не самых эффективных) скрытых майнерах достаточно поменять свой кошелек и почту, а потом распространить вирус.
Как найти скрытый майнер
Если компьютер или телефон не тормозит, это не значит, что он не заражен.
Самый действенный способ — просканировать компьютер антивирусом. Фокус популярных компаний-производителей антивирусов направлен на борьбу со скрытыми майнерами, поэтому базы обновляются достаточно часто. Но если вирус закриптован, а код свежий, антивирус не поможет.
Самый простой вариант майнера можно найти через панель задач Windows 7/10:
В этом случае нужно заглушить процесс и удалить программу. Вот этот процесс на видео:
Более сложный вариант
Обнаружить скрытый майнер более продвинутого уровня будет непросто. Он устанавливается без окошек, часто через зараженную флешку или псевдо-обновление популярной программы (типа Adobe). Такой майнер использует только половину ядер и половину мощности видеокарты, но если пользователь бездействует более какого-то срока, включается на всю мощность. Его не видно через стандартный диспетчер задач Windows 10, и найти скрытый майнер через другие программы может быть также сложно.
- Проверьте температуру устройства, когда вы не даете никакой видимой нагрузки на него.
- Установите мониторинг загруженности системы. Некоторые майнеры уходят в сон, когда открывается стандартное средство Windows, поэтому ищите спецпрограммы.
- Отследите сетевой трафик. Чтобы майнинг давал результат, хеши нужно отправлять в пул.
- Не удаляйте папки с найденным вирусом, этого недостаточно, он их восстановит.
Считается, что Apple менее подвержена вирусам. Но в последнее время Crypto Miner на Mac занимает значительное место. Это связано с тем, что устройства Apple мощные, что делает их нужными для ботнета .
Как удалить майнер-вирус
Если майнер не обнаруживается стандартными средствами, используйте Process Explorer на Windows:
- Нажмите «Ctrl + Shift + Esc» для вызова диспетчера задач, наблюдайте. Это займет 10-20 минут, но не двигайте мышь и клавиатуру, компьютер должен находится в простое (предварительно отключите заставку и уход в сон).
- Нужно удалить программу по найденной траектории через специальные программы для удаления. Отображение скрытых папок и файлов должно быть включено (Откройте любую папку > «Папка и параметры поиска» > «Вид» > «Показать скрытые файлы и папки» > «Скрыть защищенные файлы операционной системы» > «Применить» и «ОК»).
- Затем очистите реестр Windows от найденной программы.
- Очистите файл HOSTS, чтобы избежать нежелательного перенаправления браузера. Перейдите к %windir%/system32/Drivers/etc/host и уберите лишние адреса.
(Важно! Будьте осторожны при удалении файла, особенно если вы не увереный пользователь. Все действия вы делаете на свой страх и риск!)
Если диспетчер закрывается самостоятельно или какая-либо программа начала загружать систему — это означает, что ПК заражен майнером. Самый легкий бесплатный способ — переустановить компьютер.
Также на рынке есть платное ПО для защиты от криптомайнинга. Оно предовтращает установку множества троянов и блокирует домены наиболее популярных майнинговых пулов.
Источник: Secureworks
Что еще нужно знать, чтобы защититься
Для MacOS популярные названия:
- OSX.CoinMiner Virus
- MacOS BitCoinMiner-AS
- Creative Update Mac Miner
Есть вымогатели+майнеры, которые ищут соответствующие папки в %AppData%, оценивают параметры устройства. Такой вирус может подменить папку (адрес кошелька) на устройстве, которое уже майнит. А угроза Rakhni miner ищет, знаете ли вы про биткоин, и если да, выберет сценарий вируса-шифровальщика.
Отключайте ненужные службы, включая внутренние протоколы, такие как SMBv1, если не пользуетесь ими. Удаляйте лишние приложения и рассмотрите возможность ограничения доступа к встроенным системным компонентам, таким как PowerShell, которые нельзя удалить, но которые не нужны большинству пользователей.
Включите пользовательские решения для таких функций, как администрирование удаленных рабочих станций, а не стандартных портов и протоколов. Для Windows рассмотрите использование Microsoft Local Administrator Password Solution (LAPS), для управления паролями.
Своевременно проверяйте и применяйте соответствующие обновления безопасности для операционных систем и приложений.
Заключение
Майнинг криптовалюты является привлекательным предложением для мошенников, которые хотят монетизировать доступ к вычислительным ресурсам. Это останется угрозой для организаций и частных лиц, потому что влияет не только на износ системы, но и на безопасность данных.
Несмотря на то, что скрытый майнер может показаться не таким серьезным, как вымогатели, его нельзя игнорировать. Защита устройства и осознанное использование компьютера и интернета в целом усилят вашу кибер-безопасность.
Словил скрытый вирус майнер.
Всем привет. Решил я, значит, видеомонтажом заняться, скачал премьер про репак от Кролика, собственно с этим я и связал путь оказания вируса на моем пк. Так вот, вирус нагружает процессор в простое до 30% (есть прога из стима которая позволяет мониторить загрузку проца в виде виджета), когда открываю диспетчер чтобы посмотреть что его нагружает — нагрузка сразу спадает и выявить процесс не получается, как только закрываю диспетчер — проц опять нагружается до 30%. Пробовал найти процесс через Process Explorer — результат тот же.
Но, в диспетчере я увидел процесс без имени (прочитал в гугле что это svhost.exe) под который тоже могут маскироваться вирусы, но по расположению файла это системный процесс, опять Но, когда я снимаю задачу с этого процесса — процессор перестает нагружаться даже после закрытия диспетчера, т.е. всё нормализуется, а через какое-то время он снова начинает работать и проблема появляется вновь.
Тавтологией, но попытался объяснить поподробней суть проблемы тк кк в интернете не могу найти ответ, где-то читал что что-то там происходит при открывании и закрывании диспетчера и это нормально, + еще нагрузка не на 100% и тоже беспокоится не о чем, но всё же такого у меня не было и, мне кажется, быть не должно. Может кто-то сталкивался и знает решение?
Как найти майнер с помощью Process Hacker
Process Hacker, в отличие от аналогов, не умеет определять уровень безопасности запущенных приложений, процессов и служб автоматически, зато предоставляет все средства для их обнаружения человеком. Разберёмся, как с помощью программы найти майнер и удалить его.
Позволяющий найти вирус алгоритм прост: найдём прожорливый процесс, убедимся, что это майнер, завершим его работу и удалим с компьютера.
При подозрении на наличие майнера запустите Процесс Хакер, отсортируйте активные задачи по нагрузке на центральный процессор – кликните по названию столбика «CPU».
Значение 100% или близкое к нему – первый признак майнера, эти модули полностью нагружают вычислительные мощности компьютера. Второй – псевдосистемное название – написано с лишней или заменённой буквой, чтобы походить на системное.
Также майнер может задействовать вычислительные мощности видеокарты. Если процессор работает в штатном режиме, найдите подозрительный процесс, два раза кликните по нему и посмотрите использование графического ускорителя во вкладке «GPU».
Предварительно рекомендуем отправить подозрительный объект на Virustotal.
Перейдите в папку с файлом двойным кликом или выделите процесс и зажмите Ctrl + Enter.
Вернитесь обратно в Process Hacker, выделите процесс и снимите его клавишей Delete или через правый клик.
Если ниже по дереву есть еще приложения, выберите «Terminate tree».
Подтвердите действие.
Переключитесь на Проводник и удалите файл с названием, как у завершенного процесса.
Теперь удалить файл получится классическим образом.
Если нет – он окажется недоступным, вам стоит воспользоваться Unlocker, LockHunter или аналогичной программой для удаления заблокированных файлов.