Поиск и удаление скрытого майнера на компьютере

Как найти на компьютере вирус майнер и удалить его?


Защита. Разобраться с вирусом можно по такой схеме:

  1. Провести комплексную диагностику.
  2. Провести удаление майнера криптовалюты с помощью антивирусной программы или вручную, если защитник не видит майнер. Для ручного удаления нужно понимать, какой конкретно файл заражен.

Если человек не очень хорошо разбирается в компьютерах, то лучше всего отнести технику на диагностику к профессионалам и не пытаться самостоятельно удалять вирус.

Как обнаружить скрытый вирус майнер, лучшие антивирусы 2018


Avast Free Antivirus.


AVG Antivirus. Для сканирования можно воспользоваться такими программами:

  1. Avast Free Antivirus.
  2. IObit Malware Fighter.
  3. AVG Antivirus.
  4. Panda Antivirus.
  5. Dr.Web Antivirus.

В топ-5 большинства рейтингов не входит Kaspersky, но при желании можно выбрать и его.

Вопреки тому, что пишут в обзорах, не рекомендуется использовать программу Reimage Repair или Plumbytes Anti-Malware. В последнее время все больше пользователей, которые недовольны их работой.

Хорошие результаты при диагностике дают утилиты, например, AIDA64. Она предоставляет подробный отчет в формате HTML, в котором содержится информация обо всех установленных программах и состоянии ОС в целом.

Как удалить вирус майнер с компьютера, пошаговая инструкция для новичков


Advanced Boot Options. После запуска сканирования антивирус покажет, какое вредоносное ПО он обнаружил, где находится троян, и предложит его удалить. Ничего сложного в такой процедуре нет, справится даже смелая бабушка.

Удаление вируса-майнера можно провести еще надежнее:

  1. Перезагрузить компьютер, при включении нажать клавишу F8 несколько раз. Это вызовет BIOS (консоль с черным экраном).
  2. Выбрать Advanced Boot Option, затем Safe Mood with Networking. Это безопасный режим.
  3. Появится практический обычный экран, на котором будет значок браузера. Запустить его, скачать качественный антивирус из упомянутых.
  4. Провести диагностику всей системы и отдельно системных папок. Удалить все ПО, которое антивирус маркирует как подозрительное.
  5. Перезагрузить компьютер, открыть Диспетчер задач, проверить работу системы на просмотре фильма в HD, убедиться, что кулер не шумит больше обычного.

Есть файлы, которые вообще не видны обычному пользователю. Например, в этом видео, блоггер наглядно показывает такие скрытые папки, и описывает, как проводить диагностику утилитой AIDA64, и как удалять вредоносное ПО.

В некоторых обзорах встречаются описания удаления конкретных файлов, содержащих вирус-майнер. Такая информация практически бесполезна, поскольку разновидностей вредоносных программ множество, и название файла может быть абсолютно любым. Если человек не очень хорошо разбирается в том, как должны выглядеть и называться нормальные программные файлы, то не стоит искать какой-то конкретный документ вручную и тратить на это время.

Как бороться с майнерами

В браузере

  1. Перейти на сайт https://cryptojackingtest.com/, который проверит, защищен ли ваш браузер. Проверка бесплатная, но результаты не всегда верны.
  • Зеленая надпись YOU’RE PROTECTED — ваш браузер защищен.
  • Красная надпись YOU’RE NOT PROTECTED — ваш браузер уязвим.
  1. Скачать браузеры со вшитой защитой от майнинга. Opera и «Яндекс.Браузер» поддерживают такие возможности.
  2. Отключить JavaScript в браузере. Решение радикальное, ведь многим сайтам для нормальной работы требуется JavaScript.
    • Chrome: «Настройки» – «Дополнительные» – «Настройки контента» – «JavaScript» – Передвинуть переключатель в положение «Заблокировано».
    • Firefox: «Настройки» – «Содержимое» – снять флажок «Использовать JavaScript».
    • Opera: «Настройки» – «Общие настройки» – «Дополнительно» («Расширенные») – «Содержимое» – снять флажок «Включить JavaScript».
  3. Приложение Anti-Web Miner. Скачиваете с GitHub, устанавливаете, пользуетесь.
  4. Расширения для браузеров. NoCoin, AntiMiner, MineControl, MineBlock и т. д.
  5. Расширение для браузеров AdBlock. В фильтры нужно добавить:
  • ||coin-hive.com^$third-party
  • ||jsecoin.com^$third-party
  • ||miner.pr0gramm.com^
  • ||gus.host/coins.js$script
  • ||cnhv.co^.
  1. Приложение Malwarebytes. Премиум-версия защищает от новых майнеров в режиме реального времени. Бесплатная находит всё, что вы подхватили ранее, и переносит в карантин.
  2. В Windows – отредактировать файл C:\Windows\System32\drivers\etc\ В macOS введите в терминале команду sudo nano /etc/hosts/.

В конец файла hosts нужно дописать строку 0.0.0.0 coin-hive.com – она не даст устройству соединятся с сервером, на котором лежит самый известный майнинг-скрипт. Можно переадресовывать на 0.0.0.0 и другие домены, уличённые в распространении вредоносов:

  • 0.0.0 azvjudwr.info
  • 0.0.0 cnhv.co
  • 0.0.0 gus.host
  • 0.0.0 jroqvbvw.info
  • 0.0.0 jsecoin.com
  • 0.0.0 jyhfuqoh.info
  • 0.0.0 kdowqlpt.info
  • 0.0.0 listat.biz
  • 0.0.0 lmodr.biz
  • 0.0.0 mataharirama.xyz
  • 0.0.0 minecrunch.co
  • 0.0.0 minemytraffic.com
  • 0.0.0 miner.pr0gramm.com
  • 0.0.0 reasedoper.pw
  • 0.0.0 xbasfbno.info

На ПК (вне браузера)

  1. Уже упомянутое приложение Malwarebytes.
  2. Антивирус со свежей базой. Для пользователей Windows: стандартный Windows Defender чаще всего не блокирует популярный Coinhive, так что стоит установить что-то понадёжнее.
  3. Нелишним будет запустить диспетчер задач в Windows или другое приложение для слежения за расходом ресурсов компьютера (AIDA64, AnVir Task Manager или аналоги). Для macOS зайдите в «Программы» – «Утилиты» – «Мониторинг системы». Если активность резко растёт и стабильно держится, даже если у вас открыты «Заметки» и «Калькулятор», диспетчере задач или его аналоге удаляйте процессы, которые отнимают слишком много ресурсов. Затем вычищаете всё антивирусом и Malwarebytes.
  4. TDSSKiller поможет убить руткиты, которые маскируют следы пребывания майнера в системе.
  5. Утилита AVZ. Скачиваете, обновляете базы, нажимаете «Исследовать систему». Получаете avz_sysinfo.htm. Его можно разместить на форуме «Лаборатории Касперского» и попросить помощи. В случае удачи вам помогут составить скрипт, который обезвредит майнер. Но до этого рекомендуется выполнить всё, о чём мы писали выше.

На смартфоне

  1. Прежде всего, не скачивать приложения, которые обещают бешенные тыщщи денег от майнинга на смартфоне. И другие подозрительные приложения. Тем более с левых сайтов. Замена батареи / услуги специалиста стоят больше, чем вы сможете намайнить.
  2. Для борьбы с майнингом в браузере используйте браузерные расширения или браузеры с защитой от майнинга.
  3. Установите надёжный антивирус и регулярно обновляйте базы.
  4. Следите за загрузкой ресурсов смартфона.
    • iOS: «Настройки» – «Аккумулятор».
    • Android: «Настройки» – «Аккумулятор» / «Батарея».

Если видите процессы и приложения, которые потребляют больше, чем им положено, смело удаляйте их.

Способы заражения

К сожалению, ни один пользователь не защищен от проникновения данного вируса в систему компьютера. Вариантов заражения скрытым майнером множество, начиная от простого просмотра видео в интернете, заканчивая скачиванием файлов с подозрительных ресурсов. Вирус может быть вшит в JavaScript сайта с фильмами, сериалами, рассылаться вместе со спамом, посредством вредоносных ссылок. Не стоит забывать о своей безопасности в сети интернет, но и даже самый бдительный пользователь может стать жертвой хитроумного хакера.

Две утилиты для проверки Мак на ошибки — Tweak and Tuneap и Disk Cleanup Pro

Главное отличие подобного вируса майнинга – незаметность в применении, использование процессора или видеокарты может происходить в фоне, благодаря чему скорость работы системы будет замедлена незначительно. Если пользователь ПК играет в игры, требующие мощного железа, вирус может приостанавливать свою работу во время игры, дабы не стать более заметным.

Кроме того, многие майнер-вирусы свободно обходят защиту, незаметно проникая внутрь системы и останавливая работу антивирусов и других систем мониторинга угроз.

Настройка .bat монеты:

  1. miner.exe — этот аргумент указывает, какую программу нужно запустить. Оставляем как есть. Этот файл должен находиться в той же папке, что и командный файл.
  2. —algo grin29 — указать алгоритм добытой монеты.
  3. —server grin29.f2pool.com — после параметра –server укажите адрес пула.
  4. -port 13654 — укажите порт пула
  5. —user rgz —после -user, в зависимости от пула, указывается либо логин пула, либо адрес цифрового кошелька. В нашем примере на f2pool это логин
  6. —pass x — укажите пароль пула. Можно оставить пустым, если пул не требует (значение x)

При изменении файла не удаляйте пробелы и знаки препинания, так как это может повредить файл.

Когда вы установите и запустите Gminer, вы увидите следующее окно.

Что такое скрытый майнер

Скрытый майнинг представляет собой незаконное использование вычислительного оборудования, производящееся без ведома владельца, которое используется для добывания криптовалют злоумышленником. В 2020 году скрытый майнинг остается распространенным явлением.

Попадая в систему, он начинает выкачивать все мощности из компьютера. Железо работает на пределе. Даже несложные задачи (текстовый редактор, просмотр видео, аудиофайлы) начинают подвисать. Со временем это может отразиться на всех ресурсах.

Параллельно программа может:

  • похищать данные (пароли, информацию);
  • уничтожать операционную систему;
  • рассылать спам;
  • создавать благоприятную среду для других вирусов.

Согласно статистике за 2007 – 2018 г из 4 000 000 выпущенных программ, 25% оказались вредоносными. До 2020 г – эти показатели увеличились до 40%. Каждый третий маршрутизатор на планете заражён майнинговой программой. Новый компьютер может выйти из строя очень быстро.

Основные признаки скрытого майнинга

Самый основной симптом скрытого майнинга – это высокая загрузка центрального процессора и видеокарты. Компьютер будет сильно тормозить, а вентилятор постоянно вращаться.

Ноутбук может нагреваться.

Дополнительно могут проявляться следующие симптомы:

  • браузер будет использовать 50% мощности компьютера;
  • программы сильно тормозят;
  • веб-страницы медленно загружаются.

Подобные симптомы характерны для тяжеловесных программ или качественных игр. Но, когда программа выключается, загрузка процессора уменьшается, ноутбук остывает. В случае с криптоджекингом подобные процессы будут происходить постоянно.

Основные проблемы при обнаружении такого ПО

Одна из проблем заключается в том, что скрытые майнеры могут встраиваться не только на сайты с пиратским программным обеспечением, но и в рекламу на YouTube.

Впервые об этой проблеме заговорил специалист по кибербезопасности Трой Марш. Многие пользователи жаловались на то, что специальный скрипт использовал до 80% мощностей их ПК для добычи криптовалюты Монеро.

Еще один пример – сайты создания фавиконок. Эти небольшие изображения используются вебмастерами для уникализации во вкладке браузера, чтобы пользователю было проще перемещаться между закладками.

В 2021 году появились сообщения о том, что скрытый майнер находится в коде сайта по созданию таких картинок. Естественно, все вебмастера добавляют их на свои сайты. Соответственно, майнеры появляются на них.

Основная проблема заключается в том, что подобные ресурсы пользуются доверием пользователей и последние вряд ли заподозрят, что подозрительное программное обеспечение могло прийти именно оттуда.

перейти

Что такое скрытый майнинг

За этим термином обычно скрыта вирусная программа, цель которой – задействовать ресурсы ПК в своих собственных целях (точнее, в целях ее разработчика). Программа («ботнет») майнит криптовалюту за счет мощностей стороннего пользователя и перечисляет на кошелек злоумышленника. Наиболее проработанные вирусы могут вообще не отображаться в системных процессах, а также не создавать торможения, используя лишь 10-20% мощности. И работать так годами, пока владелец компьютера ничего не подозревает.

В сети достаточно много таких «черных майнеров». Лаборатория Касперского провела в 2017 году исследование и выявила, что около 10 000 устройств заражены двумя масштабными сетями скрытого майнинга, причем хозяева не выявляли у себя никакой подозрительной активности.

Чем это опасно:

  • Потеря конфиденциальных данных (кража паролей, платежных реквизитов).
  • Замедление производительности ПК, зависания, самостоятельные перезагрузки.
  • Повышенный расход электроэнергии даже тогда, когда не запущены мощные программы.
  • Износ железа. Быстрее выходят из строя процессор, кулеры, видеокарты.

Чаще всего таким способом злоумышленники добывают Монеро либо другие криптовалюты, сложность которых позволяет майнить на процессорах. А заражение осуществляется так же, как и другими видами вирусов – при открытии подозрительных ссылок и файлов из интернета.

Чем майнер-бот опасен для компьютера

Казалось бы, ну майнит программа себе криптовалюту через чужое устройство, что тут страшного? Обидно, конечно, но не критично. И всё же, как любое вирусное ПО, скрытый майнер несёт в себе опасность для вашего ПК. В первую очередь, наличие такой программы на компьютере неизбежно несёт вред ОС. Всё-таки она относится к категории троянов. К тому же, эта программа «съедает» рабочую мощность процессора и видеокарты, что сказывается на продуктивности ПК. И, пожалуй, самое неприятное: шпион открывает мошеннику доступ к вашим персональным данным, вплоть до финансовой информации и возможности получения паролей к кошелькам и картам.

К другим особенностям майнер-ботов можно отнести:

  • Нестандартный способ запуска программы;
  • Наличие двух перезапускающих друг друга процессов, если вы попытались завершить один из них;
  • Перезагрузка устройства при попытке получения доступа к файлам программы или удаления из автозагрузки;
  • Процессы, препятствующие полноценной работе антивируса.

Скрытый майнинг на компьютере: что это, история появления

  • попадание на жесткий диск компьютера «заражённого» файла, который автоматически устанавливает вредоносное ПО и начинает майнить крипту;
  • внедрение вредоносного скрипта в код сайта, в результате чего пользователь становится жертвой скрытого майнинга, просто зайдя на какой-то ресурс.
  1. Сам майнинг был не настолько популярен. Добыча коинов лишь набирала обороты, поэтому даже среди хакеров такой вид деятельности мало кого интересовал.
  2. Скрытый майнинг не приносил серьёзной прибыли. В начале 2010-х годов Биткоин имел просто смешную цену. Что уж говорить об альткоинах. Хакерам было просто невыгодно писать вредоносные скрипты и создавать скрытое ПО для кражи мощностей.
  3. Поскольку большинство скриптов для скрытого майнинга вживлялись в «трояны», их обнаруживали и уничтожали все популярные антивирусы.

Сильно выросла популярность криптовалют и, как следствие, их майнинг.
Значительно увеличилась сложность добычи. Для честного майнинга необходимо систематически тратиться на апгрейд оборудования

Но зачем это делать, когда можно без разрешения использовать ресурсы других людей?
Повысилась ценность криптовалют, из-за чего на них обратили внимание хакеры.

Что такое скрытый майнинг

Скрытый майнер — это зловредная программа, которая заражает устройство и использует его ресурсы для майнинга. Обычно для экономического эффекта нужно заразить множество компьютеров, которые в совокупности будут работать как одна сеть и давать доход.

Ранние майнеры были более примитивны. Они загружали CPU компьютера, так что их легко обнаруживали. Теперь программы работают более изощренно. Например:

  • файл замаскирован под системный и носит название типа «system». Не ждите, что он будет иметь в названии XMR или «майнер», так что жертва может воспринимать программу как обязательную.
  • Майнер, типа XMR Stak, может запускаться в нерабочее время, подстраиваться под активность пользователя. Когда компьютер нагружен игрой, майнер не работает, чтобы не вызывать подозрений.
  • ПО не нагружает устройство на полную, так что тормоза можно не заметить никогда.
  • В корпоративных сетях скрытый майнер на компьютере может быть настроен на локальные пулы, чтобы системный администратор не увидел странный трафик.

В большинстве случаев используются:

  • исходники с Minergate
  • XMR Stak
  • самостоятельные сборки.

Главное для злоумышленника — добиться скачивания файла на компьютер. Если антивируса нет или кодовой базы вируса нет в его библиотеке, запускается autorun.bat. ПО начинает работать. При компиляции программы указывается, что она должна работать как «скрытая», но есть и более изощренные трояны. Скрытый майнер прописывает себя в автозагрузку даже без прав администратора.

Как обнаружить скрытый майнинг-бот на компьютере

Первое, что нужно сделать, просканировать компьютер с помощью антивируса, возможно, на ПК «поселился» майнер, которые не скрыт от таких программ как мальварбайтес.

Некоторые вредоносные ПО могут:

  • отключаться при работе с «тяжелыми» программами;
  • скрываться в диспетчере задач под другими маркировками программам;
  • работать только во время отсутствия действий пользователя.

Если вам показалось, что ПК работает не так быстро, как обычно, а антивирус ничего не показывает, стоит произвести такие действия:

  • проверить деятельность девайса при обычной загруженности (используя простые программы или браузер);
  • попробовать поработать в более «тяжелых» программах, которые сильно нагружают видеокарту и процессор (игры);
  • скачать программу для мониторинга работы ПК (AIDA64 – наиболее простая) и протестировать нагрузки на видеокарту и процессор;
  • объединить данные и посмотреть на общую картину.

Примечательно то, что при запуске диспетчера задач (ДЗ), скрытые майнеры перестают работать и показатели деятельности компьютера стают прежними.

Поэтому ДЗ никак не покажет работу сторонней программы.

Также бывает софт, которые может самостоятельно деактивировать диспетчер задач через некоторое время (около 5 минут). Если вы отошли от ПК, оставив ДЗ, а он самостоятельно выключился, есть вероятность, что в компьютере работает ботнет.

Как вычислить майнера

Так как антивирус не всегда справляется с задачей, самый простой способ найти скрытый майнер – это открыть диспетчер задач (Ctrl + Alt + DEL). При этом необходимо отключить все тяжеловесные программы.

Следует искать процессы, которые тянут больше 50% мощности компьютера. Если такой имеется – это может оказаться вирусом.

  1. Подозрительный процесс можно остановить и понаблюдать, как будет работать компьютер дальше. Увеличение мощности системы во много раз свидетельствует о скрытом майнинге.
  2. Если он самовосстановился – значит вероятнее всего это вирус.
  3. Проверка кода страницы может дать более точный результат (правой кнопкой по странице браузера / «Посмотреть код страницы»).

Эти методы не всегда практичные, поэтому рекомендуется использовать дополнительный софт:

  • AnVir Task Manager;
  • Process Lasso;
  • Web CureIt!;
  • Kaspersky Virus Removal Tool;
  • COMODO Cleaning Essentials;
  • Junkware Removal Tool;
  • AdwCleaner;
  • System Explorer;
  • Starter;
  • Norton Antivirus;
  • Process Explorer.

Программы позволяют управлять запущенными процессами. Starter мониторит все загрузки при запуске ОС. Это позволит вычислить несанкционированные действия в системе.

Методы профилактики

Как говорится, проблемы проще избежать, нежели решить её. Но полностью обезопасить себя от майнеров не получится. Любая операционная система подразумевает установку всевозможного софта и его удаление, что переполняет реестр и вызывает сбои в работе ПК. Даже удалённые программы сохраняют отдельные файлы в реестре, благодаря чему и маскируются различные вирусы. Правильным решением будет использование портативного софта. Это избавит ваш реестр от ненужного засорения и освободит процессор. Также полезной программой является WinPatrol Monitor. Приложение оповещает о попытках файлов попасть в реестр без ведома пользователя.

СОВЕТ. Скачивайте контент только с проверенных сайтов!

Как правильно установить

На майнинг-фермах не ставят антивирус, а брандмауэр защитника отключается. Если установка minergate выполняется на обычный ПК, необходимо внести ее в виде исключения параметров безопасности, иначе произойдет блокировка и удаление. Это касается всех программ для добычи криптовалюты.

Настройка

После запуска нужно вести учетные данные в программу-майнер. Утилита имеет функцию смарт, при активации которой Minergate xFast настраивается на самый профитный
(на данный момент) алгоритм и автоматически запускает процесс добычи.

Самостоятельная minergate настройка, состоит из выбора альткоина и объема задействованной мощности. Если компьютер используется не только для майнинга, достаточно 75%, например, шесть ядер процессора из восьми.

Как майнить

Установленный и настроенный Minergate xFast
, оптимальный вариант для знакомства с азами криптодобычи.

Можно запустить майнинг на GPU и процессоре или отдельно на одном из этих устройств Грамотно распределяя производительность оборудования, можно на Minergate xFast
работать сразу с несколькими монетами, без потери хешрейта
. Для контроля добычи, на сайте есть вкладка Dashboard и приложение MinerGate mobile.

Как распознать вирус-майнер?

Вредоносную программу важно вовремя распознать и устранить. Проверку компьютера на наличие таких программ необходимо выполнять в следующих случаях:

  1. Заторможенная работа ПК. График загрузки процессора, который можно посмотреть в диспетчере задач, показывает загруженность до 40-100%.
  2. Miner может перегружать видеокарту. Это можно отследить при открытии любой программы, которая отображает процент загрузки карты. При большой загруженности кулеры карты начинают быстрее крутиться и шуметь.
  3. Повышается расход оперативной памяти. Это можно проверить в диспетчере устройств.
  4. Большой расход интернет-трафика, удаление файлов, периодическое отключение интернета или заторможенная работа ПК.
  5. Сбои в работе Windows или ошибки в работе установленных программ.

При наличии хотя бы одной из причин, рекомендуем проводить проверку на наличие вирусов.

Что такое скрытый майнер и как его обнаружить на ПК


Скрытый майнер — это не обычный вирус, а сложная программа, использующая ваш компьютер для майнинга криптовалют. Черным или скрытым и майнингом называют добычу цифровой валюты сторонними лицами посредством использования мощностей чужих ПК. Для этого в компьютеры внедряют вирус-майнеры, а что это такое мы сейчас расскажем.

Заражение оборудования происходит через скачивание и установку файлов, неразрешенный удаленный доступ, а иногда через прямую подсадку. Далее ПК подключается к майнинг-ферме мошенника, а заработанные монеты отправляются в его кошелек.

Установка шпионского ПО производится в тихом режиме, а добыча крипты маскируется под работу службы ОС или вовсе ничем себя не проявляет. Вирус-майнеры нового поколения обладают способностью оставаться незамеченными: при повышении нагрузки они отключаются, дабы не провоцировать торможение компьютера и не выдать своего присутствия.

На первый взгляд, подобное ПО не приносит особого вреда ни компьютеру, ни его владельцу (за исключением повышения оплаты за электроэнергию). На самом деле наличие теневого майнера наносит вред операционной системе, «съедает» мощность ПК, влияет на продуктивность работы, а самое главное – может открыть доступ к личным данным, включая информацию о платежных операциях и паролях электронных кошельков.

Самый распространенный скрытый майнер – Bitcoin miner, разработанный в качестве единого инструмента для добычи разных криптовалют на чужих компьютерах. Он состоит из неограниченного количества узлов и загружает оборудование на 90-100%. Процесс майнинга сопровождается заметным шумом кулера видеокарты. Bitcoin miner прост в техническом плане, не умеет маскироваться и может быть легко обнаружен по диспетчеру задач, но существуют и более «хитрые» вирусы для майнинга:

  • Bad Miner;
  • Epic Scale;
  • Miner Gate.

Выводы

Итак, мы пришли к тому, что:

  • Скрытый майнер – это вредоносное ПО, относящееся к троянским программам, которое внедряется в компьютер для майнинга криптовалюты через использование ресурсов ПК.
  • Наличие майнер-бота на компьютере жертвы позволяет злоумышленнику не только заниматься майнингом через его устройство, но и может открыть ему доступ ко многим персональным данным.
  • Ответ на вопрос «как удалить майнер» с ПК может оказаться и простым, и сложным. Все зависит от вида вируса. Если вы не уверены в собственных силах, лучше обратиться к специалистам.
  • Во избежание повторного заражения, при скачивании файлов из сети стоит пользоваться только источниками, которые не вызывают подозрения, и обходить стороной непроверенные ссылки.