Как удалить Майнер

Автор: · 25.03.2019

 

Miner – это вирусное ПО, которое использует системные ресурсы для майнинга криптовалюты. «Добыча» виртуальных монет производится в автоматическом режиме без ведома владельца «зараженного» устройства. Найти и удалить майнер с компьютера сложновато: не всегда зловредный процесс можно отследить при помощи штатных средств операционной системы по типу «Диспетчера задач». Поэтому придется воспользоваться сторонним софтом, таким как AnVir Manager и Dr. Web. После того как вредоносное ПО будет найдено – обязательно почистить реестр.

Как удалить Майнер

Как понять, что ПК заражен?

Подобный софт появляется в памяти устройства при загрузке медиаконтента и программ из непроверенных источников. Основными признаками активности майнинга на компьютере являются следующие характерные «лаги»:

  • Система работает на максимальной производительности. При выполнении стандартных операций устройство может сильно тормозить: все это негативно сказывается на «железе» и может привести к выходу из строя тех или иных компонентов ПК (в особой зоне риска видеокарта, процессор, оперативная память и система охлаждения).
  • Можно наблюдать усиленную работу кулера – охлаждающего устройства. Комп начинает шуметь и заметно нагреваться даже в режиме ожидания.

Для того чтобы наверняка убедиться в наличии miner’а в системе, необходимо отключить Интернет-соединение: если устройство перестанет лагать, а кулер начнет работать тише, то можно с уверенностью судить о том, что на ПК есть «зловред».

При обнаружении косвенных признаков «заражения» рекомендуется запустить проверку в любом доступном антивирусном ПО с обновленными вирусными базами, например, в бесплатном «Защитнике Windows»:

  1. Зайти во вкладку левой боковой панели инструментов и перейти в раздел «Защита от вирусов и угроз».
  2. В разделе «Журнал угроз» тапнуть по интерактивной клавише «Выполнить проверку сейчас».
  3. Антивирус поможет найти и удалить простой майнер.

Обратите внимание! Данный способ подойдет только для лайтовых вирусных программ: для miner’ов, которые хорошо скрывают свое присутствие, простая проверка антивирусом не прокатит.

Журнал угроз

Как обнаружить и уничтожить скрытого зловреда?

Чтобы удалить скрытый майнер из Виндовс 10, необходимо в первую очередь отключить процесс в «Диспетчере задач». Для выполнения данной операции:

  1. Зажать комбинацию Ctrl + Shift + Delete и перейти по нижней гиперссылке отобразившегося меню – «Диспетчер задач». Также для вызова окошка консоли можно удерживать Ctrl + Shift + Escape, либо вбить во встроенной поисковой строке Виндовс ключ «taskmgr».
  2. Понаблюдать за processes в окошке «Task Manager», предварительно закрыв весь работающий софт. В колонке «ЦП» указан процент нагрузки на систему: если определенный процесс сильно «грузит» комп, то вполне вероятно, что данный exe и является вирусом.
  3. Название такого ПО может быть разным, например, «system.exe» с показателем ЦП от 60%.
  4. Чтобы просмотреть более подробную информацию о том или ином исполняемом процессе, потребуется перейти во вторую вкладку справа в окне «Диспетчера задач» под названием «Подробности». Разыскать «подозрительный» файл (в нашем примере – «system.exe»).Поиск вируса в Диспетчере задач
  5. Если данный exe запущен от имени текущего юзера, а не от системы (см. колонку «Имя пользователя»), но владелец ПК уверен, что не открывал подобный процесс и вообще первый раз видит указанную программу, то с вероятностью 99% пользователь имеет дело с типичным майнинговым вирусом.
  6. Можно попытаться удалить скрытый майнер, щелкнув по имени исполняемого файла во вкладке «Processes» окошка «Диспетчера устройств», после чего выбрать опцию контекстного меню «Перейти к расположению файла». В открывшейся директории выделить exe-файл и зажать сочетание Shift + Delete для уничтожения данных без перемещения в корзину.
  7. Если exe по какой-то причине не удаляется, то необходимо проверить список автозапускаемых приложений во вкладке «Автогагрузка» в «Task Manager». Разыскать «system.exe» — тапнуть по указанному объекту правой кнопкой мышки и выбрать опцию «Отключить».
  8. В 7 версии ОС потребуется зажать сочетание Win + R и вбить ключ «msconfig» без кавычек, после чего нажать на «Enter».Автозагрузка Виндовс
  9. Перейти во вкладку «Автозагрузка» и убрать галочку напротив майнингового ПО.
  10. Во вкладке «Службы» отключить левые processes: поставить отметку напротив опции «Не отображать службы…», клацнуть на «Применить» и «ОК».
  11. Проверить меню «Планировщика», чтобы в нем не было прописано заданий от зловреда «system.exe». Зайти в «Пуск», раздел «Виндовс-Служебные», во вкладку «Панель управления».
  12. Из «Панели управления» перейти в «Администрирование» и выбрать раздел «Планировщик заданий».
  13. В открывшемся диалоговом окне перейти в раздел «Библиотека планировщика» и проверить, чтобы в списке текущих заданий отсутствовала задача на запуск или загрузку компонентов miner’а.Вирус в планировщике задач
  14. Для отключения задачи щелкнуть по ней правой клавишей мышки и выбрать опцию «Завершить», нажать на красный крестик, расположенный в правом нижнем углу штатной утилиты «Task Scheduler».
  15. Вернуться в папку с удаляемым exe – попробовать деинсталлировать объект вновь. Если файлик не ликвидируется, то можно воспользоваться специальной утилитой Unlocker: загрузить прогу из Интернета, установить. Тапнуть по «неудаляемому» файлу правой кнопкой мышки и выбрать опцию «Unlocker». В открывшемся списке команд нажать на «Delete» и подтвердить свое намерение уничтожить данные.

После того как файлик удален, необходимо почистить реестр от остаточных файлов удаленного с ПК майнера. Для осуществления указанной манипуляции необходимо следовать инструкции:

  1. Щелкнуть по значку лупы, расположенному в левом нижнем углу экрана, и ввести запрос «Regedit» без кавычек, после чего нажать на «Enter».
  2. Если окошко консоли не отображается, тогда потребуется зажать сочетание Win + R, вбить в отобразившемся окошке «Выполнить» поисковый запрос «regedit» без кавычек, затем кликнуть на «ОК».
  3. На экране появится окно «Редактора реестра». Обязательно сохранить текущую структуру registry при помощи соответствующей опции меню «Файл» – «Экспорт…». Указать имя reg-файла, директорию для его сохранения, диапазон («Весь»), тапнуть на «Сохранить».Экспорт реестра
  4. Инициировать отображение поисковой строки: зажать комбинацию Ctrl + F.
  5. Ввести наименование exe (в нашем случае — «system.exe»), после чего понадобится кликнуть на «Найти далее».
  6. Удалить все найденные совпадения, предварительно проверив содержимое каждого reg-файла, щелкнув дважды по объекту правой клавишей мышки и посмотрев поле «Значение».
  7. Если юзер не уверен в необходимости деинсталляции того или иного файла, то лучше отказаться от данной затеи, либо воспользоваться помощью специалистов профильных форумов. Неправильная правка реестра может привести к сбою в работе ПК и даже к fatal error. В худшем случае вместо удаления майнера с компьютера пользователю придется переустанавливать операционную систему.
  8. Для переключения между разыскиваемыми файлами реестра (в данном примере, содержащими в себе ключ «system.exe») потребуется нажать на кнопку «F3».
  9. Производить поиск, проверку и уничтожение нежелательных записей до тех пор, пока на дисплее не появится надпись: «Поиск в реестре завершен».
  10. Таким образом можно удалить cpu-майнер («cpuminer-sseexe»).

Поиск майнера в реестре

Дополнительно рекомендуется выполнить оптимизацию реестра в специальной утилите, например, в профильном ПО для работы с registry – Reg Organizer. Для улучшения структуры и устранения лишних ключей и веток при помощи указанного софта, нужно:

  1. Зайти на официальный сайт поставщика утилиты, загрузить Рег Органайзер, установить на ПК и открыть.
  2. Тапнуть на опцию «Чистка реестра», расположенную в левом верхнем углу приложения, и запустить «Экспресс-проверку реестра».
  3. Появится окошко, в котором будет показана динамика очистки. Здесь находится зеленая полоса загрузки, по которой можно судить о текущей стадии проверки.
  4. По окончании процесса автоматического сканирования системы следует клацнуть по интерактивной клавише «Исправить все» и нажать на кнопочку «Готово».
  5. Зайти на вкладку «Оптимизация реестра» и перейти по гиперссылке «Выполнить оптимизацию…».
  6. Дождаться окончания процесса оптимизации «registry structure», после чего перезагрузить ПК.

Чистка реестра в Рег Органайзер

Что делать, если подозрительное ПО отсутствует в Таск Менеджере?

Обычно майнинговое ПО использует видеоадаптер, не нагружая при этом процессор. В таком случае найти и удалить вирус майнер при помощи «Диспетчера задач» не получится (особенно это касается устройств со старой версией Windows OS).

В Windows 10 доступна функция просмотра загруженности не только центрального, но и графического процессора. Для проверки нагрузки на GeForce или Intel достаточно выполнить следующие манипуляции:

  1. Зайти в «Диспетчер задач» удобным способом, например, зажав сочетание Ctrl + Shift + Escape.
  2. В окошке консоли выбрать вкладку «Производительность» и перейти в раздел «Графический процессор», предварительно завершив работу всех программ, кроме «Task Manager».
  3. Перейти в раздел «Графический процессор»: если в режиме простоя активность graphics processor находится на отметке более 50% (тем более, если приближается к уровню 100%), то на данном ПК работает miner.

Проверка загрузки графического процессора

Некоторые miner’ы способны автоматически отключать «Диспетчер задач» через определенное время после запуска «штатного» средства ОС, что также является признаком наличия на данном устройстве потенциальной угрозы. Часть майнингового ПО способна отключаться при запуске окошка «Task Manager»: пользователь просто не увидит «зловреда» в списке исполняемых файлов, несмотря на все косвенные признаки его наличия в пользовательской ОС.

В данном случае придется воспользоваться специальной утилитой, к примеру:

  • AIDA64 Extreme;
  • AnVir Task Manager;
  • Process Hacker.

Process Hacker

Такой софт позволяет узнать реальную загруженность системы. Чтобы проверить ПК в AnVir Task Manager, потребуется:

  1. Зайти на официальный портал поставщика программного решения, тапнуть на красную стрелочку «Скачать бесплатно», нажать на «Сохранить».
  2. Запустить «anvirus.exe» и следовать инструкции «Мастера установки».
  3. Открыть приложение Анвир Таск Менеджер, навести курсор на подозрительный экзе для отображения комплексной информации о нем.
  4. В AnVir Task Manager каждому исполняемому exe-файлу присваивается свой «Уровень риска». Чем выше данный показатель, тем больше вероятность того, что рассматриваемое ПО относится к категории «Badware».
  5. Щелкнуть по объекту правой клавишей мышки и выбрать верхний пункт раскрывшегося меню – «Детальная информация».AnVir Task Manager
  6. В нижней части экрана отобразится специальное поле с подробными сведениями об exe – зайти во вкладку под названием «Производительность».
  7. В разделе «Период» указать опцию «День», чтобы проверить нагрузку ПК за прошлые сутки. Если указанный exe сильно нагружал систему, тогда нужно будет переписать его наименование и путь.
  8. После этого щелкнуть по элементу правой клавишей мышки, и в ниспадающем menu выбрать опцию «Перейти к указанному файлу», затем повторно кликнуть по объекту и нажать на функцию «Завершить процесс».
  9. Зайти в открывшуюся папку и попытаться вручную удалить вирус майнера.
  10. Если после перехода в указанную директорию, пользователь не может найти нужный exe-файл, то экзешка скрыта. Необходимо настроить отображение скрытых файлов и папок – перейти во вкладку «Вид», в раздел «Параметры». Повторно зайти в закладку «Вид», спуститься в самый низ экрана и поставить галочку напротив «Отображать скрытые файлы и папки», тапнуть на «Применить» и «ОК».Отображение скрытых папок
  11. После того как юзер удалит скрытый майнер со своего компьютера (в т.ч. при помощи утилиты Unlocker), необходимо обязательно почистить реестр от остаточных компонентов «зловреда» способом, указанным выше.
  12. Повторно просканировать систему в своей антивирусной программе и уничтожить (либо переместить в «Карантин») все обнаруженные угрозы, после чего осуществить перезагрузку системы.

Обратите внимание! Если пользователь не уверен в эффективности своего антивирусного ПО, то можно воспользоваться такими утилитами для борьбы с вирусами, как Malwarebytes Antimalware, Hitman Pro, Adw Cleaner, Kaspersky Virus Removal Tool или портативной бесплатной программой Dr. Web Curelt. Подобное ПО поможет уничтожить около 60% всех существующих майнеров.

 

Так, полностью удалить майнер с компа можно при помощи Dr. Web Curelt. Для реализации задуманного необходимо:

  1. Загрузить прогу с официального сайта поставщика программного решения: проскролить вниз сайта до раздела «Обновление Dr. Web Curelt», тапнуть на кнопку «Скачать Dr. Web Curelt».
  2. В открывшемся окошке обозревателя нажать на интерактивную клавишу «Скачать Dr. Web Curelt».
  3. Запустить загруженную экзешку: на экране появится окошко «Лицензии и обновления». Поставить галочку напротив опции «Я согласен принять участие в программе улучшения качества ПО», после чего клацнуть на опцию «Продолжить».Загрузка Dr. Web Curelt
  4. В отобразившемся окне бесплатной утилиты тапнуть на кнопку «Начать проверку», чтобы запустить сканирование ПК, дождаться завершения автоматического процесса.
  5. По окончании сканирования пользователю станет доступен полный перечень «зловредного» ПО. Проверить, чтобы в список удаляемых прог случайно не попал нужный софт (особенно это касается «крякнутых» программ и файловых менеджеров), после чего щелкнуть на опцию «Обезвредить».

Обратите внимание! Помимо стандартного антивирусного ПО можно воспользоваться такой программой, как Kaspersky TDSSKiller – утилита антируткита позволит почистить все скрытые от глаз пользователей процессы. ПО имеет интуитивно понятный интерфейс и поставляется на условно-бесплатной основе.

Проверка программой Dr. Web Curelt

Дополнительно рекомендуется воспользоваться бесплатной утилитой CCleaner, которая, наряду с Reg Organizer, позволит подчистить все «хвосты», оставленные после майнинга:

  1. Скачать прогу, установить и запустить.
  2. Щелкнуть по вкладке левой панели инструментов «Реестр» и инициировать «Поиск проблем».
  3. Дождаться окончания запущенного процесса и нажать на «Исправить отмеченные…».
  4. Следовать подсказкам на экране: по окончании работы утилиты осуществить ребут компа.

Очистка реестра в CCleaner

Как удалить вредоносное ПО из браузера?

Существует определенный тип майнингового ПО, называемый web-miner. Подобные программы работают через конкретный веб-сайт: избавиться от данной проблемы можно при помощи сброса настроек браузеров, в процессе которого будет очищен кэш обозревателя. Также рекомендуется установить один из доступных блокировщиков рекламы по типу AdBlock Plus.

Для того чтобы удалить майнер в браузере, необходимо сбросить настройки Google Chrome. Для осуществления указанного действия потребуется следовать инструкции:

  1. Тапнуть по значку в виде трех точек в правом верхнем углу Хрома.
  2. Выбрать раздел «Settings» в ниспадающем menu.
  3. Проскролить вниз до функции «Дополнительные»: щелкнуть по этой гиперссылке.Дополнительные настройки Хром
  4. Повторно спуститься вниз и тапнуть по опции «Восстановление настроек по умолчанию».
  5. Инициализировать «Сброс настроек» и подтвердить свое действие.
  6. Дождаться завершения запущенного процесс и ребутнуть комп.
  7. После включения ПК зайти в Хром и скачать AdBlock Plus или Adguard. Для загрузки того или иного расширения для обезвреживания майнингового ПО необходимо вызвать меню браузера и зайти в «Дополнительные инструменты», в подраздел «Расширения».
  8. Тапнуть по значку в виде трех полос в левом верхнем углу обозревателя и перейти по гиперссылке «Открыть Интернет-магазин Chrome».
  9. В открывшейся вкладке в поисковой строке, которая находится в левом верхнем углу дисплея, вбить запрос «AdBlock Plus», после чего тапнуть на «Enter».
  10. Клацнуть по синей кнопочке «Установить», расположенной напротив первого результата поиска от источника «adblockplus».
  11. Справа от адресной строки Гугл Хрома появится значок в виде знака «STOP» с надписью «ABP». Щелкнуть по нему левой клавишей мышки и установить переключатель, расположенный напротив опции «Блокировать рекламу» в положение «Вкл.».

AdBlock Plus для хрома

Для осуществления аналогичной манипуляции в Opera:

  1. Запустить браузер.
  2. Тапнуть по лого Оперы в левом верхнем углу монитора: выбрать функцию «Настройки».
  3. Проскролить вниз дисплея и перейти по ссылке «Дополнительно».
  4. Кликнуть на «Восстановление настроек по умолчанию». В окошке «Сброса настроек браузера» тапнуть на опцию «Сбросить» и дождаться очистки данных обозревателя.
  5. Щелкнуть по кубу, расположенному в нижней части боковой панели инструментов Оперы.
  6. Перейти по гиперссылке «Добавить расширения».
  7. Откроется вкладка «Opera addons»: в поисковой строке «Поиск дополнений» ввести наименование нужного блокировщика – AdGuard или AdBlock Plus и щелкнуть по значку лупы.
  8. Кликнуть по отобразившемуся результату поиска и выбрать функцию «Добавить в Опера».
  9. Включить блокировщик методом, аналогичным в Гугл Хром.

Сброс настроек Оперы

Как обезопасить ПК?

Чтобы в будущем не пришлось удалять майнеры с компа, достаточно проверять ссылки для загрузки данных из Интернета в одном из доступных онлайн-сканеров вирусов и вредоносных программ, например, в VirusTotal, 2IP.ru.

Для проверки той или иной ссылки в Virus Total необходимо выполнить следующие манипуляции:

  1. Скопировать ссылку на проверяемый сайт с медиаконтентом.
  2. Зайти на портал «Virus Total» и перейти во вкладку «URL».
  3. В поле «Search or scan a URL» вставить скопированную ссылку, после чего тапнуть на значок в виде увеличительного стекла.
  4. Откроется вкладка с подробной аналитикой ресурса: пользователь сможет принять осознанное решение по поводу целесообразности загрузки данных.

Приложение Virus Total

Чтобы обезопасить свой компьютер от вирусов, достаточно следовать простым инструкциям:

  • не загружать медиаконтент из непроверенных источников;
  • посещать только защищенные сайты;
  • избегать log’ов – использовать надежные VPN-сервисы;
  • установить на ПК антивирус и использовать его на постоянной основе, не забывая оперативно обновлять программу.

Альтернативный метод

Все майнинговое ПО проникает на компьютер и получает права администратора, чтобы вносить изменения на указанном устройстве от имени admin’а. Проверить наличие такого «гостя» можно через menu «Контроля учетных записей пользователя». А для того чтобы найти и удалить скрытые майнеры с ПК, необходимо выполнить следующие манипуляции:

  1. Перейти в локальный диск «С», в папку «Windows», в фолдер «system32», в директорию «drivers» и в конечную папку с названием «etc».Очистка папки drivers
  2. Запустить файлик с именем «hosts» в стандартном текстовом редакторе – «Блокноте».
  3. Файл является скрытым, поэтому может потребоваться отобразить показ скрытых фолдеров через уже знакомый «Проводник» («Вид», опция «Параметры»).
  4. Обычно скрытый miner прописывает в файлике «hosts» путь к майнинговой ферме: чтобы удалить вирус биткоин-майнера, можно попробовать почистить вручную все подозрительные ip-адреса (например, «102.54.94.9 rhino.b-coinggg.com»).
  5. Так как провайдер фиксирует log-файлы при просмотре пользователем тех или иных ресурсов сети Интернет, то существует вероятность возврата «зловреда» на ПК по данным логам.
  6. Поэтому в процессе веб-серфинга рекомендуется воспользоваться программой для VPN без записи log’ов.

TunnelBear VPN

Лучшими бесплатными VPN-расширениями для браузеров считаются:

  • TunnelBear VPN;
  • Hotspot Shield;
  • Hola VPN;
  • Touch VPN;
  • ZenMate VPN.

Радикальный метод

Если ни один из указанных выше советов не помог удалить вирус майнер с компьютера, то придется осуществить переустановку Windows. Но перед этим можно попробовать воспользоваться опцией восстановления (если юзер успел сохранить копию операционной системы до заражения вирусным ПО). Перед тем как применить инструмент system recovery, рекомендуется переместить все важные сведения, сохраненные с момента создания последней точки восстановления, в надежное место (например, на флешку или в «облачный» сервис). После резервирования нужных данных, можно приступить к откату системы до нужного состояния.

System recovery

В этом случае потребуется следовать ниже представленной инструкции:

  1. Щелкнуть по значку лупы, встроенному в панель задач: в поисковой строке вбить ключ «Восстановление», тапнуть на «Enter».
  2. Зайти в «Настройки…» и клацнуть на интерактивную клавишу «Восстановить…».
  3. Щелкнуть на «Далее>» и указать путь к актуальной версии recovery point.
  4. Чтобы проверить перечень изменений, которые будут внесены на ПК после использования файла отката Винды, достаточно кликнуть на интерактивную клавишу «Поиск затрагиваемых программ».
  5. После того как пользователь проанализирует объем предстоящих работ, достаточно нажать на клавишу «Далее>» и следовать подсказкам «Мастера восстановления» ПК.
  6. По факту отката системы потребуется перезагрузить ПК: с компьютера будут удалены все майнеры, в т.ч. svchost.

 

 

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован.