Майнер вирус удалить: Как найти и удалить скрытый майнер на компьютере

Как найти и удалить скрытый майнер на компьютере

Майнинг и криптовалюты активно набирают популярность с каждым годом. Создаются новые приложения и программы по этой теме, и не всегда они полезны. Один из новейших примеров – вредоносное приложение для скрытого майнинга. Основная проблема в том, что отработанных стратегий по борьбе с таким ПО пока нет, а имеющаяся информация неоднозначна и не систематизирована. Мы попробовали собрать всё воедино и разобраться, как удалить майнер с компьютера.

Что представляет собой скрытый майнер

Для начала необходимо хорошо понимать, что же такое майнер и как он работает. Скрытые майнеры (ботнеты) – система софта, позволяющая вести майнинг без ведома пользователя. Другими словами, на компьютере появляется совокупность программ, использующих ресурсы ПК для заработка денег и их перечисление создателю вредоносных приложений. Популярность этого направления растёт, а заодно растут и предложения о продаже вирусов. Главной целью ботнетов являются офисные компьютеры, так как выгода разработчиков напрямую зависит от количества заражённых ПК. Именно поэтому распознать майнеры непросто. Чаще всего вирус можно «подхватить», скачивая контент из непроверенных источников. Также популярны спам-рассылки. Перед тем, как переходить к поиску и удалению, разберёмся во всех тонкостях и опасностях подобного софта.

В чём опасность скрытого майнера

В целом, работа майнер-бота похожа на обычный вирус: он также «прикидывается» системным файлом и перегружает систему, постоянно что-то скачивая и загружая. Главное его отличие от вирусных программ в том, что цель майнеров – не навредить системе, а использовать её в своих целях. Процессор постоянно перегружен, так как добывает криптовалюту создателю ПО. А самая большая проблема заключается в том, что стандартные антивирусники не могут определить проблему и найти майнер на компьютере. Приходится бороться с ботами самостоятельно. Нужно «выслеживать» файл в реестрах и процессах, проводить сложные манипуляции по его полному удалению, а это не всегда просто для среднестатистического пользователя. Плюс ко всему, разработчики научились создавать программы-невидимки, отследить которые через диспетчер задач не получится. В глубинах системных файлов будет ещё и резервный исходник, позволяющий программе восстановиться в случае обнаружения антивирусной программой или ручного удаления. Так как же распознать и удалить такой софт?

Ввиду сложности обнаружения приходится опираться на собственные ощущения. Майнеры заметно перегружают систему, благодаря чему компьютер начинает сильно тормозить. Это сказывается и на технической составляющей ПК: страдают процессор, видеокарта, оперативка и даже система вентиляции. Если вы слышите, что ваш кулер постоянно работает на пределе – стоит задуматься, не подхватили ли вы майнера. Ко всему прочему добавим, что stealth miner’ы с лёгкостью крадут данные пользователя, в том числе пароли от аккаунтов и электронных кошельков.

Находим и удаляем

Выяснив, что скрытый майнинг до добра не доведёт, переходим к операции «найти и уничтожить».

Для начала рекомендуется запустить стандартный процесс сканирования компьютера любым достаточно эффективным антивирусом. Нельзя исключать, что в том или ином случае пользователь столкнутся с обычным и сравнительно безопасным майнером. Своего присутствия в системе он не скрывает, а потому его без проблем можно будет обнаружить за счёт сканирования и безвозвратно удалить.

Но практика показывает, что идентифицировать троян в системе довольно сложно. Разработчики вредоносного программного обеспечения делают всё возможное, дабы работа майнера велась максимально незаметно, но при этом приносила пользу. Жаль только, что не пострадавшей стороне.

Современные майнеры очень качественно скрывают своё присутствие. Они способны на многое, включая:

• выключаться в процессе работы пользователя с программами и приложениями, которые являются особо требовательными;
• имитировать работу других приложений и стандартных процессов при запуске Диспетчера задач;
• работать только в то время, когда компьютер простаивает, то есть пользователь ничего не делает.

Вот почему очень часто оказывается, что компьютер уже давно и весьма серьёзно заражён, а пользователь даже не подозревает об этом. Это стало возможным за счёт тщательной работы хакеров.

Ботнеты сильно нагружают процессор компьютера

Но всё же обнаружить вредоносные программы можно. И не обязательно для этого обращаться к профильным специалистам.

ВНИМАНИЕ. Если не уверены, не стоит удалять те или иные файлы. Особенно системные. Иначе это может привести к печальным последствиям, включая повреждение ОС с необходимостью её переустановки.

Сначала нужно удостовериться в том, что перед вами вредоносный майнер, который хорошо маскируется. И только после этого его можно смело сносить.

Реализовать задуманное можно 2 основными способами. Для этого стоит воспользоваться функционалом Диспетчера задач, либо задействовать мощную системную утилиту для проверки всех активных процессов типа AnVir.

Диспетчер задач

С Интернет-майнингом сталкивались многие. Причём некоторые даже об этом и не знают. В сети существуют веб-сайты, где используются специальные скрипты, позволяющие добраться до производительности ПК путём обхода защиты. Обойдя защиту на сайте, хакер загружает на ресурс вредоносный код. Он начинает майнить, когда пользователь заходит на этот сайт.

Догадаться и как-то понять, что вы зашли на подобный сайт, довольно просто. Ведь при его посещении компьютер сразу же начинает сильно тормозить, а в Диспетчере задач отображается высокая нагрузка на компьютерное железо. Стоит закрыть сайт, и майнинг остановится, работа компьютера нормализуется.

Чтобы обнаружить вредоносное программное обеспечение, которое забралось в ваш компьютер и систему, используя для этого Диспетчер задач, необходимо выполнить несколько шагов:

• Для начала откройте сам Диспетчер задач. Для этого достаточно одновременно нажать сочетание клавиш Ctrl, Shift и Esc.
• Теперь просто наблюдайте. Буквально 10 минут. При этом важно, чтобы компьютер бездействовал. Старайтесь даже ничего не нажимать на клавиатуре и не пользоваться мышкой.
• Есть такие вирусы, которые активируют блокировку диспетчера, либо просто закрывают окно. Делается это по вполне банальной причине. Так вредоносное ПО скрывает своё присутствие. Поэтому в случае самопроизвольного закрытия диспетчера, либо при загрузке системы во время бездействия можно делать смелый вывод о том, что на компьютере есть майнер.
• Если во время наблюдения ничего подозрительного обнаружено не было, откройте вкладку Подробности в окне диспетчера.
• В открывшемся списке поищите процесс, который чем-то отличается от всех остальных. Это может быть использование странных символов и другие отличительные черты. Перепишите его название.
• Теперь через поисковую систему Windows пропишите слово regedit и откройте реестр, запустив это приложение. Причём лучше от имени администратора.
• Открыв «Редактор реестра», нажмите на вкладку «Правка» в верхнем левом углу, а затем на кнопку «Найти». Сюда вбейте название того процесса, который вызвал у вас подозрения.
• При отображении в списке совпадений с этим названием, кликните по ним правой кнопкой и нажмите «Удалить». Но если вы не уверены в том, что это вредоносное ПО, а не системные важные файлы, лучше ничего не трогать.
• Запустите процедуру сканирования системы антивирусом. Причём тут можно воспользоваться даже встроенным инструментом от Windows. Для его запуска нужно нажать на «Пуск», затем перейти в раздел «Параметры», далее в «Обновление и безопасность», и тут вы найдёте «Защитник Windows».
• По завершению сканирования система выдаст перечень обнаруженных угроз. Дайте разрешение на их удаление.

Теперь остаётся только перезагрузить компьютер.

Полагаться исключительно на встроенный антивирус операционной системы не стоит. Будет лучше, если дополнительно вы запустите сканирование сторонним софтом или даже утилитой типа Dr.Web. Чем антивирус эффективнее, тем выше вероятность обнаружить скрытые угрозы.

СОВЕТ. Перед запуском сканирования обновите антивирус до последней версии.

Вредоносное ПО может быть достаточно свежим, и устаревший антивирус попросту не знает о нём, а потому у него отсутствуют соответствующие алгоритмы поиска и удаления. Обновив программу, она наверняка найдёт этот майнер и обезвредит его.

AnVir Task Manager

Многие воспринимают эту программу как антивирусное ПО. В действительности это полезная системная утилита, способная отображать все процессы на компьютере.

С помощью этого многофункционального диспетчера процессов удаётся довольно быстро и легко найти все скрытые вирусы и майнеры. Нужно лишь правильно воспользоваться предлагаемыми возможностями.

Последовательность процедур здесь будет следующей:

• Сначала скачайте установочный файл. Лучше это делать через официальный сайт разработчика. Теперь установите диспетчера процессов и запустите его.
• В открывшемся окне после непродолжительного сканирования будут отображаться все процессы, которые сейчас протекают на вашем компьютере.
• Сам диспетчер имеет специальный алгоритм определения уровня риска. Он отображается в процентах. Но полностью полагаться на него не стоит. Увидев процессы с высоким риском, либо же подозрительные названия, подведите к ним курсор мышки. После этого откроется развёрнутая информация.
• Ряд троянов действительно хорошо маскируются, имитируя системные приложения и процессы. Но вот детали их выдают. По ним как раз и можно обнаружить реальную угрозу.
• Выберите один из процессов, в безопасности которого вы сомневаетесь. Кликните правой кнопкой, нажмите на пункт «Детальная информация», а затем откройте вкладку «Производительность».
• В списке слева поставьте галочку на варианте «1 День». Теперь посмотрите, какая нагрузка на компьютер была в течение указанного периода.
• Если подозрительный процесс сильно нагружал систему, подведите к нему курсор мышки, после чего перепишите название самого процесса, а также путь к нему.
• Далее по этому же процессу нажмите правой кнопкой и выберите вариант для завершения процесса.
• Снова через поисковую систему Windows пропишите regedit, запустите «Редактор реестра». Через вкладку «Правка» нажмите на «Найти» и пропишите значения подозрительных процессов.
• Все совпадения с названием файла удаляются.
• Запустите обновлённую антивирусную программу для полного сканирования. Если угрозы будут обнаружены, удалите их.

В завершении остаётся только отправить компьютер на перезагрузку.

После этого проверьте, изменилась ли ситуация, снизилась ли нагрузка на систему. Если есть и другие подозрительные процессы, проделайте с ними всё то же самое.

Удаление майнера с компьютера

После проверки на наличие вредоносных ПО, приступаем к его устранению. Сделать это можно несколькими способами, в том числе и без помощи сторонних программ для обнаружения майнеров. Важно: удаляйте вручную только в том случае, когда вы абсолютно уверены, что нашли именно майнер.

1. Пробуем найти файл через Диспетчер задач – Подробности или же через упомянутые выше программы для просмотра процессов ПК.
2. Закрываем всевозможные процессы, кроме необходимых для работы ОС. Оставшиеся поочерёдно проверяем. Ищем процесс с непонятным набором случайных символов в названии.
3. Обнаружив подозрительный файл, маскирующийся под обновления системы, запускаем поисковик. Смотрим, что открывается при попытке загрузить файл.
4. Находим совпадения в реестре, нажав regedit и клавиши Ctrl + F для поиска. Удаляем. Можно дополнительно почистить реестр с помощью, например, CCleaner.
5. Перезагружаем ПК и оцениваем изменения в нагрузке.

ВНИМАНИЕ. Зачастую майнеры хранятся на диске C в папке users\ пользователь\appdata.

Можно попробовать прибегнуть к помощи антивирусных программ. Старые версии, конечно, не исправят ситуацию, но некоторые имеют достаточный набор утилит для поиска скрытых майнеров. К примеру, Dr.Web CureIt, Kaspersky Virus Removal Tool или Junkware Removal Tool.

Если обнаружить майнер не удалось, но вы уверены, что он есть – используйте программу AVZ. Там необходимо произвести обновление и запустить «Исследование системы». На выходе вы получите avz_sysinfo.htm файл, с которым можно идти на форум и просить помощи специалистов. Возможно, вы получите скрипт, который выполняется через ту же AVZ и тем самым решить проблему. Также поможет обычная переустановка операционной системы.

Методы профилактики

Как говорится, проблемы проще избежать, нежели решить её. Но полностью обезопасить себя от майнеров не получится. Любая операционная система подразумевает установку всевозможного софта и его удаление, что переполняет реестр и вызывает сбои в работе ПК. Даже удалённые программы сохраняют отдельные файлы в реестре, благодаря чему и маскируются различные вирусы. Правильным решением будет использование портативного софта. Это избавит ваш реестр от ненужного засорения и освободит процессор. Также полезной программой является WinPatrol Monitor. Приложение оповещает о попытках файлов попасть в реестр без ведома пользователя.

СОВЕТ. Скачивайте контент только с проверенных сайтов!

Подводя итоги, хочется сказать следующее: не «забивайте» на свой компьютер! Если вы заметили какие-либо изменения в работе, не ленитесь выяснять причину. Многие пользователи предпочитают просто понизить настройки в любимой игре, нежели пытаться понять, почему играть стало некомфортно. Это всё чревато неприятными последствиями не только в плане ОС, но и для работы самой техники. Сталкивались ли вы с майнер-ботами и как боролись с ними? Описывайте свой опыт в комментариях.

Как найти и удалить вирус майнер.

Вирус-майнер (майнер, Биткоин майнер) – это вредоносное программное обеспечение, основной целью которого является майнинг (mining) —
заработок криптовалюты с использованием ресурсов компьютера жертвы. В идеальном случае, такое программное обеспечение должно работать максимально скрытно, иметь высокую живучесть и
низкую вероятность обнаружения антивирусными программами. ”Качественный” вирус-майнер малозаметен, почти не мешает работе пользователя и с трудом обнаруживается антивирусным ПО.
Основным внешним проявлением вирусного заражения является повышенное потребление ресурсов компьютера и, как следствие – дополнительный нагрев и рост шума от вентиляторов системы охлаждения.
В случае ”некачественного” вируса-майнера, в дополнение к перечисленным симптомам, наблюдается снижение общей производительности компьютера, кратковременные подвисания или даже неработоспособность
некоторых программ.

Слово ”майнинг” происходит от английского ”mining”, что означает ”разработка полезных ископаемых”. Майнинг — это не что иное, как процесс создания новых единиц криптовалюты (криптомонет) по специальному алгоритму. На сегодняшний день существует около тысячи разновидностей криптовалют, хотя все они используют алгоритмы и протоколы наиболее известного начинателя — Bitcoin .

Процесс майнинга представляет собой решение сложных ресурсоемких задач для получения уникального набора данных, подтверждающего достоверность платежных транзакций. Скорость нахождения и количество единиц криптовалюты, получаемых в виде вознаграждения, различны в системах разных валют, но в любом случае требуют значительных вычислительных ресурсов. Мощность оборудования для майнинга обычно измеряется в мегахешах (MHash) и гигахешах (GHash). Так как сложность майнинга наиболее дорогих криптовалют уже давно недостижима на отдельно взятом компьютере, для заработка используются специальные фермы, представляющие собой мощные вычислительные системы промышленного уровня и пулы майнинга — компьютерные сети, в которых процесс майнинга распределяется между всеми участниками сети. Майнинг в общем пуле — это единственный способ для простого пользователя поучаствовать в получении хотя бы небольшой прибыли от процесса создания криптомонет. Пулы предлагают разнообразные модели распределения прибыли, учитывающие в том числе и мощность клиентского оборудования. Ну и вполне понятно, что загнав в пул десятки, сотни и даже тысячи зараженных майнером компьютеров, злоумышленники получают определенную прибыль от эксплуатации чужого компьютерного оборудования.

Вирусы-майнеры нацелены на долговременное использование компьютера жертвы и при заражении, как правило, устанавливается вспомогательное ПО, восстанавливающее основную программу майнинга в случае ее повреждения, удаления антивирусом или аварийного завершения по каким-либо причинам. Естественно, основная программа настраивается таким образом, чтобы результаты майнинга были привязаны к учетным записям злоумышленников в используемом пуле. В качестве основной программы используется легальное программное обеспечение для майнинга, которое загружается с официальных сайтов криптовалют или специальных ресурсов пулов и, фактически, не являющееся вредоносным программным обеспечением (вирусом, вирусным программным обеспечением — ПО). Это же ПО вы можете сами скачать и установить на собственном компьютере, не вызывая особых подозрений у антивируса, используемого в вашей системе. И это говорит не о низком качестве антивирусного ПО, а скорее наоборот – об отсутствии событий ложной тревоги, ведь вся разница между майнингом, полезным для пользователя, и майнингом, полезным для злоумышленника заключается в том, кому будут принадлежать его результаты, т.е. от учетной записи в пуле.

Как уже упоминалось, главным признаком заражения системы майнером является интенсивное использование ресурсов какой-либо программой, сопровождающееся увеличением уровня шума системного блока, а также температуры комплектующих. При чем, в многозадачной среде, как правило, вирус работает с самым низким приоритетом, используя ресурсы системы только тогда, когда компьютер простаивает. Картина выглядит так: компьютер ничем не занят, простаивает, а его температура комплектующих и издаваемый вентиляцией шум напоминает игровой режим в какой-нибудь очень даже требовательной компьютерной стрелялке. Но, на практике наблюдались случаи, когда приоритет программ для майнинга устанавливался в стандартное значение, что приводило к резкому падению полезного быстродействия. Компьютер начинает жутко ”тормозить” и им практически невозможно было пользоваться.

Самым простым способом избавления от нежелательного ПО является возврат предыдущего состояния Windows с использованием точек восстановления, часто называемый откатом системы. Для этого необходимо, чтобы существовала точка восстановления, созданная в тот момент времени, когда заражение еще не произошло. Для запуска средства восстановления можно воспользоваться комбинацией клавиш Win+r и набором команды rstrui.exe в открывшемся поле ввода. Или воспользоваться главным меню – ”Программы – Стандартные – Служебные – Восстановление системы”. Далее, выбираете нужную точку восстановления и выполняете откат на нее. При успешном откате, в большинстве случаев, удается избавиться от вируса без особых усилий. Если же нет подходящей точки восстановления или откат не привел к нейтрализации вируса, придется искать более сложные пути для разрешения данной проблемы. При этом можно воспользоваться стандартными средствами операционной системы или специализированными программами, позволяющими выполнять поиск и завершение процессов, получение сведений об их свойствах, просмотр и модификацию точек автозапуска программ, проверки цифровых подписей издателей и т.п. Такая работа требует определенной квалификации пользователя и навыков в использовании командной строки, редактора реестра и прочих служебных утилит. Использование же нескольких антивирусных сканеров разных производителей, программ для очистки системы и удаления нежелательного ПО может не дать положительного результата, и в случае с майнером – обычно не дает.

Сложность выявления программ, используемых для майнинга, заключается в том, что они не обнаруживаются большинством антивирусов, поскольку фактически не являются вирусами. Есть вероятность, что антивирус может предотвратить процесс установки майнера, поскольку при этом используются не совсем обычные программные средства, но если этого не произошло, искать и удалять вредоносную (с точки зрения владельца зараженного компьютера) программу, скорее всего, придется вручную. К сведению, в июне 2017г. средний уровень выявления вредоносности подобного ПО, например, средствами известного ресурса Virustotal составлял 15-20/62 – т.е. из 62 антивирусов, только 15-20 посчитали его вредоносной программой. При чем, наиболее популярные и качественные антивирусные программы в эту группу не входят. Для хорошо известных или обнаруженных относительно давно вирусов уровень выявления вредоносности может быть выше благодаря сигнатурам антивирусных баз данных и принятия некоторых дополнительных мер разработчиками антивирусных программ. Но все это далеко не всегда позволяет избавиться от вируса майнера без дополнительных усилий, которые потребуется приложить для решения проблемы.

Ниже рассматривается практический случай заражения системы вредоносным ПО для
майнинга. Заражение произошло при использовании модифицированных игровых программ, загруженных с одного из недоверенных торент-трекеров. Хотя способ заражения мог быть и другим, как и для любого прочего вредоносного ПО – переход по ссылкам на непроверенных ресурсах, открытие почтовых вложений и т. п.

Набор вредоносных программ для майнинга в интересах злоумышленников реализует
следующие функции:

— обеспечение своего автоматического запуска. Одна или несколько программ выполняют модификацию ключей реестра для автоматического запуска в случае непредвиденного завершения, перезагрузки или выключения питания. Периодически (приблизительно 1 раз в минуту) ключи реестра просматриваются и в случае их нарушения (удаления, изменения) — восстанавливаются.

— автоматического запуска программы для майнинга. Программа также запускается автоматически и параметры ее автозапуска отслеживаются и восстанавливаются одной или несколькими вспомогательными программами.

Пока в памяти компьютера выполняются процессы, обеспечивающие автоматический запуск, нет смысла удалять исполняемые файлы и записи в реестре – они все равно будут восстановлены. Поэтому, на первом этапе нужно выявить и принудительно завершить все процессы, обеспечивающие автоматический перезапуск вредоносных программ.

Для поиска и устранения вируса-майнера в современных ОС можно обойтись стандартными средствами или, например, более функциональным ПО из пакета Sysinternals Suite от Microsoft

страница Windows Sysinternals на Microsoft Technet

— Process Explorer – позволяет просматривать подробные сведения о процессах, потоках, использовании ресурсов и т.п. Можно изменять приоритеты, приостанавливать (возобновлять) работу нужных процессов, убивать процессы или деревья процессов. Утилитой удобно пользоваться для анализа свойств процессов и поиска вредоносных программ.

— Autoruns – удобное средство контроля автозапуска программ. Контролирует практически все точки автоматического запуска, начиная от папок автозагрузки и заканчивая задачами планировщика. Позволяет быстро обнаружить и изолировать программы, запуск которых не желателен.

В качестве вспомогательного ПО можно также воспользоваться утилитой Process Monitor, которая в сложных случаях позволяет отслеживать активность конкретных программ с использованием фильтров (обращение к реестру, файловой системе, сети и т. п.) А также удобной для поиска файлов и папок утилитой SearhMyfiles от Nirsoft, главной особенностью которой является возможность поиска файлов и папок с использованием отметок времени файловой системы NTFS (Time stamp). В качестве критериев поиска, можно задавать диапазоны времени создания, модификации и доступа для файлов и папок (Created, Modified, Accessed). Если известно приблизительное время заражения или взлома, можно собрать полный список файлов, которые были созданы или изменены в заданный период.

Но повторюсь, для поиска и удаления майнеров, как правило, достаточно использования стандартных средств Windows — диспетчера задач и редактора реестра. Просто перечисленное выше ПО проще в использовании и удобнее для поиска вредоносных программ.

Cведения об использовании ресурсов системы, отображаемые Process Explorer:

Колонка CPU отображает степень использования центрального процессора различными процессами. System Idle Process — это не процесс, а индикация программой режима простоя (бездействия). В итоге видим, что процессор находится в режиме бездействия 49.23% времени, часть процессов используют сотые доли его ресурсов, а основным потребителем CPU является процесс system.exe — 49.90%. Даже при поверхностном анализе свойств процесса system.exe, заметны факты, которые вызывают обоснованное подозрение:

— Странное описание (Description) – Microsoft Center

— Странное имя компании (Company Name) – www.microsoft.com Прочие процессы, действительно имеющие отношение к Microsoft в качестве описания имеют строку Microsoft Corporation

Более подробный анализ выполняется через контекстное меню, вызываемое правой кнопкой мышки – пункт Properties:

Путь исполняемого файла ProgramData\System32\system.exe также является явно подозрительным, а переход в паку с исполняемым файлом при нажатии на соответствующую кнопку Explore показал, что и сама папка и исполняемый файл имеют атрибуты ”Скрытый” (”Hidden”). Ну, и параметры командной строки:

-o stratum+tcp:// xmr.pool. minergate.com: 45560 —donate- level=1 -u pro1004 el123234 @ yandex.ru*-p x -t 2 –k
явно указывают на то, что процесс system.exe – это программа-майнер (для использования пулов pool.minergate.com).

Поле Autostart Location содержит значение n/a, что означает, что данный процесс не имеет точек автоматического запуска.
Родительский процесс для system.exe имеет идентификатор PID=4928, и на данный момент не существует (Non existent Process), что с большой долей
вероятности говорит о том, что запуск процесса был выполнен с использованием командного файла или программы, которая завершила свою работу после запуска. Кнопка Verify предназначена
для принудительной проверки наличия родительского процесса.

Кнопка Kill Process позволяет завершить текущий процесс. Это же действие можно выполнить с использованием контекстного меню, вызываемого правой кнопкой мышки для выбранного процесса.

Вкладка TCP/IP позволяет получить список сетевых соединений процесса system.exe:

Как видно, процесс system.exe имеет установленное соединение локальный компьютер – удаленный сервер static. 194.9.130.94. clients.your — server.de :45560.

В данном реальном случае, процесс system.exe имел минимальный приоритет и почти не влиял на работу прочих процессов, не требующих повышенного потребления ресурсов. Но для того, чтобы оценить влияние на поведение зараженной системы, можно установить приоритет майнера равный приоритету легальных программ и оценить степень ухудшения полезной производительности компьютера.

При принудительном завершении процесса system exe, он снова запускается спустя несколько секунд. Следовательно, перезапуск обеспечивается какой-то другой программой или службой.
При продолжении просмотра списка процессов, в первую очередь вызывает подозрения процесс Security.exe

Как видно, для запуска программы Security. exe используется точка автозапуска из стандартного меню программ пользователя, и выполняемый файл Security.exe находится в той же скрытой папке C:\ProgramData\System32

Следующим шагом можно принудительно завершить Security.exe, а затем – system.exe. Если после этого процесс system.exe больше не запустится, то можно приступать к удалению вредоносных файлов и настроек системы, связанных с функционированием вредоносных программ. Если же процесс system.exe снова будет запущен, то поиск вспомогательных программ, обеспечивающих его запуск нужно продолжить. В крайнем случае, можно последовательно завершать все процессы по одному, каждый раз завершая system.exe до тех пор, пока не прекратится его перезапуск.

Для поиска и отключения точек автозапуска удобно использовать утилиту Autoruns из пакета Sysinternals Suite:

В отличие от стандартного средства msconfig.exe, утилита Autoruns выводит практически все возможные варианты автоматического запуска программ, существующие в данной системе. По умолчанию, отображаются все (вкладка Everything), но при необходимости, можно отфильтровать отдельные записи по типам переключаясь на вкладки в верхней части окна (Known DLLs, Winlogon, … Appinit).

При поиске записей, обеспечивающих автозапуск вредоносных программ, в первую очередь нужно обращать внимание на отсутствие цифровой подписи разработчика в колонке Publisher. Практически все современные легальные программы имеют цифровую подпись, за редким исключением, к которому, как правило, относятся программные продукты сторонних производителей или драйверы/службы от Microsoft. Вторым настораживающим принципом является отсутствие описания в колонке Description. В данном конкретном случае, под подозрением оказывается запись, обеспечивающая открытие ярлыка Security.lnk в папке автозагрузки пользователя:

C:\Users\ Student\ AppData\ Roaming\ Microsoft\ Windows\Start Menu\ Programs\ Startup

Ярлык ссылается на файл c:\programdata\system32\security.exe

Отметка времени (Time Stamp) дает дату и время заражения системы — 23. 06.2017 19:04

Любую из записей, отображаемых утилитой Autoruns, можно удалить или отключить, с возможностью дальнейшего восстановления.
Для удаления используется контекстное меню или клавиша Del. Для отключения – снимается галочка выбранной записи.

Скрытую папку c:\programdata\ system32\ можно удалить вместе со всем ее содержимым. После чего перезагрузиться и проверить отсутствие вредоносных процессов.

Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»

Как удалить Trojan.BitCoinMiner Miner Infection

• 31 января 2018 г.

Что такое Trojan.BitCoinMiner?

Пропустите это и узнайте, как удалить Trojan.BitCoinMiner!

Trojan.BitCoinMiner — это компьютерная инфекция, которая незаметно запускается на вашем компьютере, используя ресурсы вашего процессора или графического процессора для добычи цифровых валют. По мере роста стоимости криптовалют, таких как биткойн, все больше и больше преступников хотят использовать ресурсы вашего компьютера для майнинга и получения дохода.

Хотя этот тип заражения может называться BitCoinMiner, это не означает, что преступники добывают только биткойны. Они также добывают цифровые валюты, такие как Monero, Electroneum и другие.

Что особенно беспокоит эта инфекция, так это то, что она будет использовать ваш процессор и видеокарту в течение длительных периодов времени с высокой интенсивностью. Это приводит к тому, что ваши устройства сильно нагреваются в течение длительного периода времени, что приводит к повреждению оборудования вашего компьютера. Это длительное использование также приводит к тому, что ваш компьютер потребляет больше электроэнергии, чем обычно, что может увеличить счета за электричество.

Биткойн-майнеры также обнаруживаются под разными именами, такими как:

PUA.CoinMiner
Trojan.BitMine
W32/CoinMiner
Trojan.BitMine
Application.BitCoinMiner
Riskware.BitcoinMiner
Riskware.Miner

Симптомы заражения Trojan.

BitCoinMiner

Поскольку Trojan.BitCoinMiner не отображает окно и работает в фоновом режиме, многие люди даже не знают, что они заражены. Единственный реальный способ обнаружить Trojan.BitCoinMiner — это заподозрить его по следующим симптомам и начать искать в диспетчере задач неизвестные процессы.

Эти симптомы таковы:

• Вы увидите запущенные процессы в диспетчере задач, которые используют более 50% ЦП в течение длительного периода времени.
• В диспетчере задач вы увидите процессы с именем вроде XMRig .
• Windows сворачивается и разворачивается медленно, игры работают медленнее, а видео тормозит.
• Программы запускаются не так быстро.
• Программы перестают отвечать на запросы.
• Диспетчер задач постоянно показывает загрузку ЦП более 50%.
• Общая медлительность при использовании компьютера.

К сожалению, если вы заражены майнером, который использует ваш GPU или видеокарту, вы, вероятно, не увидите никаких процессов в диспетчере задач, использующих большое количество ресурсов ЦП. Это связано с тем, что обработка выполняется на видеокарте.

Если вы подозреваете, что заражены майнером, который использует вашу видеокарту, вы можете загрузить GPU-Z и проверить загрузку графического процессора, пока вы не играете в игры и не выполняете какие-либо действия с интенсивным использованием графики. Если ваша карта имеет высокую загрузку графического процессора без какой-либо причины, возможно, вы заражены майнером графического процессора.

Как

Trojan.BitCoinMiner устанавливается на компьютер?

Инфекции Trojan.BitCoinMiner могут быть установлены на ваш компьютер различными способами. Самый распространенный метод — его установка другими троянами, которые находятся на вашем компьютере. Эти трояны скачают и установят программу без вашего ведома.

Другой метод — установка пакетов рекламного ПО, которые также устанавливают на компьютер майнер. Поэтому важно, чтобы вы держались подальше от взлома программного обеспечения и обращали пристальное внимание на подсказки по установке при установке бесплатного программного обеспечения, которое вы загружаете из Интернета.

Как видите, заражение Miner — это не то, что вам нужно на вашем компьютере. Эти инфекции крадут ресурсы процессора вашего компьютера, ресурсы графического процессора и ваше электричество для получения прибыли. Чтобы компьютер снова работал нормально и защищал его аппаратное обеспечение, вы можете использовать приведенное ниже руководство для сканирования и удаления любых обнаруженных Trojan.BitCoinMiner.

Самопомощь

Это руководство содержит расширенную информацию, но составлено таким образом, чтобы каждый мог следовать ему. Прежде чем продолжить, убедитесь, что ваши данные скопированы.

Если вам неудобно вносить изменения в свой компьютер или выполнять следующие действия, не волнуйтесь! Вместо этого вы можете получить бесплатную индивидуальную помощь, задав вопрос на форумах.

Чтобы удалить Trojan.BitCoinMiner, выполните следующие действия:

• ШАГ 1: Прежде чем начать, распечатайте инструкции.
• ШАГ 2: Используйте Rkill для завершения работы подозрительных программ.
• ШАГ 3: Используйте Malwarebytes AntiMalware для сканирования на наличие вредоносных и нежелательных программ
• ШАГ 4: Просканируйте и очистите компьютер с помощью Zemana AntiMalware.
• ШАГ 5: Используйте AdwCleaner для удаления рекламного ПО с компьютера.
• ШАГ 6: Используйте HitmanPro для сканирования компьютера на наличие вредоносных программ
• ШАГ 7: Запустите Secunia PSI, чтобы найти устаревшие и уязвимые программы.

1

Это руководство по удалению может показаться сложным из-за большого количества шагов и многочисленных программ, которые будут использоваться. Это было написано только таким образом, чтобы предоставить четкие, подробные и простые для понимания инструкции, которые каждый может использовать для бесплатного удаления этой инфекции. Прежде чем использовать это руководство, мы предлагаем вам прочитать его один раз и загрузить все необходимые инструменты на свой рабочий стол. После этого распечатайте эту страницу, так как вам может потребоваться закрыть окно браузера или перезагрузить компьютер.

2

Чтобы закрыть любые программы, которые могут помешать процессу удаления, мы должны сначала загрузить программу Rkill. Rkill выполнит поиск на вашем компьютере активных вредоносных программ и попытается остановить их, чтобы они не мешали процессу удаления. Для этого загрузите RKill на свой рабочий стол по следующей ссылке.

На странице загрузки нажмите кнопку Download Now с надписью iExplore.exe . Когда вам будет предложено, где сохранить его, пожалуйста, сохраните его на вашем рабочий стол .

3

После загрузки дважды щелкните значок iExplore.exe , чтобы автоматически попытаться остановить любые процессы, связанные с Trojan. BitCoinMiner и другими вредоносными программами. Пожалуйста, будьте терпеливы, пока программа ищет различные вредоносные программы и уничтожает их. По завершении черное окно автоматически закроется и откроется файл журнала. Просмотрите файл журнала и закройте его, чтобы перейти к следующему шагу. Если у вас возникли проблемы с запуском RKill, вы можете загрузить другие переименованные версии RKill со страницы загрузки rkill. Все файлы переименованы в копии RKill, которые вы можете попробовать вместо них. Обратите внимание, что страница загрузки откроется в новом окне или вкладке браузера.

Не перезагружайте компьютер после запуска RKill, так как вредоносные программы снова запустятся.

4

На этом этапе вам следует загрузить Malwarebytes Anti-Malware, или MBAM, для сканирования вашего компьютера на наличие любых инфекций, рекламного ПО или потенциально нежелательных программ, которые могут присутствовать. Пожалуйста, загрузите Malwarebytes из следующего места и сохраните его на рабочем столе:

5

После загрузки закройте все программы и Windows на вашем компьютере, включая эту.

6

Дважды щелкните значок на рабочем столе с именем MBSetup-1878.1878-4.0.exe . Это запустит установку MBAM на ваш компьютер.

7

После начала установки следуйте инструкциям, чтобы продолжить процесс установки. Не вносите никаких изменений в настройки по умолчанию, и когда программа завершит установку, отобразится экран приветствия.

На этом экране нажмите Начать работу , где вам будет предложено купить и активировать лицензию. Чтобы продолжить использовать его бесплатно, нажмите «Возможно позже», а затем выберите «Использовать Malwarebytes бесплатно».

Следует отметить, что бесплатная версия будет сканировать и удалять вредоносное ПО, но не обеспечивает защиту в реальном времени от угроз, которые возникают, если сканирование не выполняется.

Наконец, вам будет показан экран с предложением подписаться на их информационный бюллетень. Просто нажмите «Открыть Malwarebytes Free», чтобы запустить программу.

8

Теперь запустится MBAM, и вы окажетесь на главном экране, как показано ниже.

Теперь нам нужно включить сканирование руткитов, чтобы обнаружить максимальное количество вредоносных и нежелательных программ, которое возможно с помощью MalwareBytes. Для этого нажмите на шестеренку Настройки в верхней левой части экрана, и вы попадете в раздел общих настроек.

Теперь нажмите на опцию Security в верхней части экрана. Теперь вам будут показаны настройки, которые MalwareBytes будет использовать при сканировании вашего компьютера.

Прокрутите вниз, пока не увидите опцию сканирования, как показано ниже.

На этом экране включите параметр Сканирование на наличие руткитов , щелкнув тумблер, чтобы он стал синим.

Теперь, когда вы включили сканирование руткитов, нажмите кнопку X , чтобы закрыть настройки и вернуться на главный экран.

9

Теперь вы должны нажать кнопку Scan , чтобы начать сканирование компьютера на наличие вредоносных программ.

Этот процесс может занять довольно много времени, поэтому мы предлагаем вам сделать что-то еще и периодически проверять состояние сканирования, чтобы узнать, когда оно будет завершено.

10

После завершения сканирования MBAM отобразит экран, на котором будут показаны обнаруженные вредоносные программы, рекламное ПО или потенциально нежелательные программы. Обратите внимание, что изображение результатов сканирования в нашем руководстве может отличаться от того, которое вы видите в этой версии Malwarebytes, поскольку оно было создано в более старой версии.

Теперь вы должны нажать кнопку Карантин , чтобы удалить все выбранные элементы. Теперь MBAM удалит все файлы и ключи реестра и добавит их в карантин программы.

При удалении файлов MBAM может потребоваться перезагрузка, чтобы удалить некоторые из них. Если он отображает сообщение о необходимости перезагрузки, разрешите ему это сделать. После перезагрузки компьютера и входа в систему выполните остальные шаги.

11

Теперь вы можете выйти из программы MBAM.

12

На этом этапе вам следует загрузить Zemana AntiMalware или ZAM, чтобы сканировать компьютер на наличие любых инфекций, рекламного ПО или потенциально нежелательных программ, которые могут присутствовать. Загрузите Zemana AntiMalware из следующего места и сохраните его на рабочем столе:

13

После загрузки закройте все программы и откройте окна на своем компьютере.

14

Теперь дважды щелкните значок 9 на рабочем столе.0044 Zemana.AntiMalware.Setup.exe . Это запустит установку Zemana AntiMalware на ваш компьютер.

15

После начала установки продолжайте следовать инструкциям, чтобы продолжить процесс установки. Не вносите никаких изменений в настройки по умолчанию, и когда программа завершит установку, Zemana автоматически запустится и отобразит главный экран.

16

Теперь вы находитесь на главном экране Zemana AntiMalware, как показано ниже.

Над кнопкой Сканировать измените тип сканирования на Глубокое сканирование , а затем нажмите кнопку Сканировать , чтобы начать сканирование для удаления вредоносных программ.

17

Теперь Zemana AntiMalware начнет сканирование вашего компьютера на наличие вредоносных программ, рекламного ПО и потенциально нежелательных программ. Этот процесс может занять довольно много времени, поэтому мы предлагаем вам сделать что-то еще и периодически проверять состояние сканирования, чтобы узнать, когда оно будет завершено.

18

Когда Zemana закончит сканирование, он отобразит экран, на котором будут показаны все обнаруженные программы. Обратите внимание, что найденные предметы могут отличаться от того, что показано на изображении ниже.

Просмотрите результаты сканирования и, когда вы будете готовы продолжить процесс очистки, нажмите кнопку Далее , чтобы удалить или восстановить все выбранные результаты. Как только вы нажмете кнопку «Далее», Zemana удалит все ненужные файлы и исправит любые измененные законные файлы. Если вы получили предупреждение о том, что Zemana должна закрыть ваши открытые браузеры, закройте все веб-браузеры, которые могут быть открыты, а затем нажмите кнопку 9.0044 OK кнопку для продолжения.

Теперь Zemana создаст точку восстановления системы, удалит обнаруженные файлы и восстановит все файлы, которые были изменены.

19

Когда процесс завершится, появится экран с надписью «Завершено». На этом экране вы можете закрыть экран Zemana AntiMalware и продолжить выполнение остальных инструкций.

20

Теперь загрузите AdwCleaner и сохраните его на рабочем столе. AdwCleaner просканирует ваш компьютер на наличие рекламных программ, которые могли быть установлены на ваш компьютер без вашего ведома. Вы можете скачать AdwCleaner по следующему адресу:

21

После завершения загрузки AdwCleaner дважды щелкните значок AdwCleaner. exe , который появится на рабочем столе. После двойного щелчка по значку откроется программа AdwCleaner, и вам будет представлено лицензионное соглашение программы. После прочтения нажмите кнопку Я согласен , если хотите продолжить. В противном случае нажмите кнопку Я не согласен , чтобы закрыть программу. Если Windows спросит вас, хотите ли вы запустить AdwCleaner, разрешите ему запуститься.

Если вы решили продолжить, вам будет представлен начальный экран, как показано ниже.

22

Теперь нажмите кнопку Сканировать в AdwCleaner. Теперь программа начнет поиск известных рекламных программ, которые могут быть установлены на вашем компьютере. Когда он закончит, он отобразит все элементы, которые он нашел в разделе «Результаты» на экране выше. Пожалуйста, просмотрите результаты и попытайтесь определить, содержат ли перечисленные программы программы, которые вы не хотите устанавливать. Если вы найдете программы, которые вам нужно сохранить, снимите галочки со связанных с ними записей.

Многим может показаться запутанным содержимое раздела «Результаты». Если вы не видите имя программы, которое, как вы знаете, не следует удалять, перейдите к следующему шагу.

23

Чтобы удалить рекламные программы, обнаруженные на предыдущем этапе, нажмите кнопку Очистить на экране AdwCleaner. Теперь AdwCleaner предложит вам сохранить все открытые файлы или данные, так как перед началом очистки программа должна будет закрыть все открытые программы.

Пожалуйста, сохраните вашу работу, а затем нажмите кнопку OK . Теперь AdwCleaner удалит все обнаруженные рекламные программы с вашего компьютера. Когда это будет сделано, отобразится предупреждение, объясняющее, что такое ПНП (потенциально нежелательные программы) и рекламное ПО. Прочтите эту информацию и нажмите кнопку OK . Теперь вам будет представлено предупреждение о том, что AdwCleaner необходимо перезагрузить компьютер.

Нажмите кнопку OK , чтобы AdwCleaner перезагрузил компьютер.

24

Когда ваш компьютер перезагрузится и вы войдете в систему, AdwCleaner автоматически откроет файл журнала, содержащий файлы, ключи реестра и программы, которые были удалены с вашего компьютера.

Просмотрите этот файл журнала и закройте окно Блокнота.

25

Теперь вы должны скачать HitmanPro из следующего места и сохранить его на свой рабочий стол:

Когда вы посетите вышеуказанную страницу, загрузите версию, которая соответствует битовому типу используемой вами версии Windows.

26

После загрузки дважды щелкните файл с именем HitmanPro.exe (для 32-разрядных версий Windows) или HitmanPro_x64.exe (для 64-разрядных версий Windows). Когда программа запустится, вы увидите начальный экран, как показано ниже.

Теперь нажмите кнопку Next , чтобы продолжить процесс сканирования.

27

Теперь вы находитесь на экране настройки HitmanPro. Если вы хотите установить 30-дневную пробную версию HitmanPro, выберите Да, создать копию HitmanPro, чтобы я мог регулярно сканировать этот компьютер (рекомендуется) вариант. В противном случае, если вы хотите просканировать компьютер только один раз, выберите параметр Нет, я хочу выполнить однократное сканирование только для проверки этого компьютера .

Выбрав один из вариантов, нажмите кнопку Далее .

28

Теперь HitmanPro начнет сканировать ваш компьютер на наличие инфекций, рекламного ПО и потенциально нежелательных программ. По завершении он отобразит список всех предметов, которые Hitman нашел, как показано на изображении ниже. Обратите внимание, что найденные предметы могут отличаться от представленных на изображении.

Теперь вы должны нажать кнопку Далее , чтобы HitmanPro удалил обнаруженные элементы. Когда это будет сделано, вам будет показан экран результатов удаления, который показывает состояние различных программ, которые были удалены. На этом экране вы должны нажать кнопку Next , а затем, если будет предложено, вы должны нажать кнопку Reboot . Если HitmanPro не предложит вам перезагрузиться, просто нажмите кнопку Close .

После перезагрузки компьютера или нажатия кнопки «Закрыть» вы должны оказаться на рабочем столе Windows.

29

Поскольку многие вредоносные и нежелательные программы устанавливаются через уязвимости, обнаруженные в устаревших и небезопасных программах, настоятельно рекомендуется использовать Secunia PSI для поиска уязвимых программ на вашем компьютере. Учебник о том, как использовать Secunia PSI для сканирования уязвимых программ, можно найти здесь:

Как обнаружить уязвимые и устаревшие программы с помощью Secunia Personal Software Inspector

Теперь ваш компьютер должен быть свободен от Trojan. BitCoinMiner 9Программа 0045. Если ваше текущее решение для обеспечения безопасности позволяет использовать эту программу на вашем компьютере, вы можете рассмотреть возможность приобретения полнофункциональной версии Malwarebytes Anti-Malware для защиты от этих типов угроз в будущем.

Если у вас по-прежнему возникают проблемы с компьютером после выполнения этих инструкций, выполните действия, описанные в теме, ссылка на которую приведена ниже:

Руководство по подготовке
Для использования перед использованием средств удаления вредоносных программ и запросом помощи

Вы защищены?

В то время как Malwarebytes Anti-Malware, Zemana AntiMalware и HitmanPro бесплатно сканируют и очищают компьютер, бесплатные версии не обеспечивают защиту в реальном времени. Если вы хотите всегда быть полностью защищенным, рекомендуется приобрести премиум-версию.

Malwarebytes Anti-Malware

Приобретите полнофункциональную версию Malwarebytes Anti-Malware , которая включает в себя защиту в реальном времени, сканирование по расписанию и фильтрацию веб-сайтов, чтобы защитить себя от подобных угроз в будущем!

Приобретите Premium

Zemana AntiMalware

Приобретите полнофункциональную версию Zemana AntiMalware , которая включает сканер вредоносных программ второго мнения, когда другие решения не работают, облачное сканирование и сверхбыстрое время сканирования, чтобы защитить себя от эти типы угроз в будущем!

Приобрести Premium

HitmanPro

Приобрести полнофункциональную версию HitmanPro , которая позволяет обнаруживать вирусы, трояны, руткиты, шпионское ПО и другое вредоносное ПО на современных и полностью защищенных компьютерах с помощью облачной защиты и поведенческого обнаружения. , чтобы защитить себя от подобных угроз в будущем!

Покупка Премиум

Отказ от ответственности: хотя мы получаем комиссию от продажи вышеуказанных продуктов, будьте уверены, мы рекомендуем их только из-за их эффективности.

Это руководство по самопомощи. Используйте на свой риск.

BleepingComputer.com не несет ответственности за проблемы, которые могут возникнуть при использовании этой информации. Если вам нужна помощь с любым из этих исправлений, вы можете обратиться за помощью в удалении вредоносных программ на нашем форуме журналов удаления вирусов, троянов, шпионских и вредоносных программ.

Если у вас есть какие-либо вопросы об этом руководстве по самопомощи, задайте их в разделе Я заражен? Что я делаю? и кто-то поможет вам.

Trojan.BitCoinMiner

Краткая биография

Trojan.BitCoinMiner — это общее имя Malwarebytes для обнаружения майнеров криптовалюты, которые запускаются на зараженной машине без согласия пользователей.

Симптомы

Майнеры криптовалют используют много ресурсов для оптимизации заработка криптовалют, поэтому пользователи могут столкнуться с медленными компьютерами.

Тип и источник заражения

Поскольку майнинг использует много ресурсов , злоумышленники пытаются использовать чужие машины для майнинга за них. Это обнаружение означает, что ваша машина используется как таковая.

Aftermath

Помимо замедления работы вашей машины, работа в режиме просмотра в течение длительного времени может привести к повреждению вашей машины и увеличению счетов за электроэнергию.

Защита

Malwarebytes блокирует Trojan.BitCoinMiner, используя защиту в реальном времени.

Malwarebytes блокирует Trojan.BitcoinMiner

Домашнее исправление

Malwarebytes может обнаруживать и удалять Trojan.BitcoinMiner без дальнейшего взаимодействия с пользователем.

1. Загрузите Malwarebytes на свой рабочий стол.
2. Дважды щелкните MBSetup. exe и следуйте инструкциям по установке программы.
3. Когда установка Malwarebytes для Windows завершится, программа откроет экран «Добро пожаловать в Malwarebytes».
4. Нажмите кнопку Начать .
5. Щелкните Scan , чтобы начать сканирование угроз .
6. Нажмите Карантин  , чтобы удалить найденные угрозы.
7. Перезагрузите систему, если будет предложено завершить процесс удаления.

Восстановление бизнеса

Как удалить Trojan.BitcoinMiner с помощью консоли Malwarebytes Nebula

Вы можете использовать консоль Malwarebytes Anti-Malware Nebula для сканирования конечных точек.

Меню задач конечной точки Nebula

Выберите параметр «Сканировать + Карантин». После этого вы можете проверить страницу «Обнаружения», чтобы узнать, какие угрозы были обнаружены. На странице «Карантин» вы можете увидеть, какие угрозы были помещены в карантин, и при необходимости восстановить их.