Як перевірити систему на Майнер. Як зрозуміти, що комп'ютер заражений Майнер

Як знайти прихований майнер?

Прихований майнер це троян, який використовує обчислювальну потужність процесора жертви для Майнінг цифровий валюти під назвою Monera. Після установки цей троян встановить Monero під назвою NsCpuCNMiner32.exeі NsCpuCNMiner64.exe, Який спробує запустити Monero, використовуючи ресурси процесора вашого комп'ютера буде їсти ресурси комп'ютера.

Miner CNMiner працює, після запуск програми під назвою CNMiner.exe, Яка потім запускає NsCpuCNMiner32.exeі NsCpuCNMiner64.exeв залежності від того, чи встановлений встановлений комп'ютер 32-розрядноїабо 64-розрядної. Після запуску майнер - шахтар почне використовувати всю обчислювальну потужність комп'ютера, щоб роздобути валюту Monero в шахтному пулі mine.moneropool.com. Ви можете побачити, скільки ресурсів процесора використовується шахтарем на зображенні нижче.

CNMiner працює в диспетчері завдань
CNMiner працює в диспетчері задачЧто особливо тривожно з приводу цієї інфекції, так це те, що вона буде використовувати всю обчислювальну потужність процесора на невизначений термін. Це призведе до того, що ваш процесор буде працювати при дуже високих температурах протягом тривалих періодів часу, що може скоротити термін служби процесора.

Оскільки немає вказівок на те, що програма запущена, ось список симптомів, які користувач може використовувати, щоб визначити, інфіковані вони Miner Mining:
NsCpuCNMiner32.exe, NsCpuCNMiner64.exe або C NMiner, Що виконуються в диспетчері завдань.
Windows мінімізує і максимізує повільно, ігри працюють повільніше, а відео заїкаються.

Програми запускаються не так швидко.
Загальна повільність при використанні комп'ютера.
Як було встановлено Miner Miningна моєму комп'ютері?

В даний час невідомо, як шахтар CNMiner встановлюється на комп'ютер жертви. Він може бути встановлений вручну зломом розробника на комп'ютер або разом з іншими шкідливими програмами. Тому важливо завжди мати хорошу програму безпеки, встановлену для моніторингу несанкціонованих і шкідливих програм. Як ви можете бачити, шахтар CNMiner - це програма, яка краде ресурси вашого комп'ютера і ваше електрику і прибуток від нього. Щоб комп'ютер знову працював нормально і захищав комп'ютер, вам слід скористатися наведеними нижче керівництвом, щоб видалити цей троянець безкоштовно.

Керівництво з 24 пунктів! з видалення Майнера

1 Це керівництво з видалення може виявитися переважною через кількість кроків і численних програм, які будуть використовуватися. Стаття була написана таким чином, щоб надати чіткі, докладні і легко зрозумілі інструкції, які будь-хто може використовувати для видалення цього вірусу безкоштовно. Перед використанням цього керівництва ми рекомендуємо вам прочитати його один раз і завантажити всі необхідні інструменти на робочий стіл. Після цього роздрукуйте цю сторінку, тому що вам необхідно буде закрити вікно браузера або перезавантажити комп'ютер.

2 Щоб перервати будь-які програми, які можуть перешкодити процесу видалення, ми повинні спочатку завантажити програму Rkill. Rkill буде шукати на вашому комп'ютері активні зараження шкідливими програмами і спробувати їх припинити, щоб вони не заважали процесу видалення. Для цього завантажте RKill на свій робочий стіл за такою засланні.

Коли на сторінці завантаження натисніть кнопку «Завантажити зараз» з написом iExplore.exe. Коли вам буде запропоновано зберегти його, збережіть його на робочому столі.

3 Після його завантаження двічі клацніть значок iExplore.exe , Щоб автоматично спробувати зупинити будь-які процеси, пов'язані з CNMiner Monero Minerі іншими шкідливими програмами. Будьте терплячі, поки програма шукає різні шкідливі програми і закінчує їх. По завершенні чорне вікно автоматично закриється і відкриється файл журналу. Перегляньте файл журналу і закрийте його, щоб продовжити виконання наступного кроку. Якщо у вас виникли проблеми з запуском RKill, Ви можете завантажити інші перейменовані версії RKillзі сторінки завантаження Rkill. Всі файли перейменовуються в копії RKill, Які ви можете спробувати замість цього. Зверніть увагу, що сторінка завантаження відкриється в новому вікні браузера або вкладці. Чи не перезавантажувати комп'ютер після запуску RKill, Так як шкідливі програми почнуть знову працювати.

4 Тепер завантажте Emsisoft Anti-Malware, Який сканує і видаляє будь-яке інше рекламне ПО, яке може бути включено в це рекламне ПО. Завантажте та збережіть програму установки Emsisoft Anti-Malware на свій робочий стіл по посиланню

5 Після того, як файл був завантажений, двічі клацніть значок EmsisoftAntiMalwareSetup_bc.exe, Щоб запустити програму. якщо Windows Smart Screen видає попередження, дозвольте йому працювати в будь-якому випадку. Якщо програма установки відображає попередження про безпечний режим, натисніть кнопку «Так» , щоб продовжити. Тепер ви повинні побачити діалогове вікно з проханням погодитися з ліцензійною угодою. Увійдіть в угоду і натисніть кнопку «Встановити», щоб продовжити установку.

6 У кінцевому підсумку ви отримаєте екран з питанням, який тип ліцензії ви хочете використовувати з Emsisoft Anti-Malware.

Виберіть екран ліцензії Якщо у вас є існуючий ліцензійний ключ або ви хочете купити новий ліцензійний ключ, виберіть відповідний варіант. В іншому випадку виберіть Freeware або Test за 30 днів, Безкоштовний варіант. Якщо після натискання цієї кнопки ви отримаєте попередження, просто натисніть кнопку «Так» , Щоб перейти в режим безкоштовного доступу, який також дозволяє очистити інфіковані файли.

7 Тепер на екрані дивимося і вибираємо, чи хочете ви приєднатися до мережі Anti-Malware Emsisoft. Прочитайте опису і виберіть свій вибір, щоб продовжити.

8 Emsisoft Anti-Malware тепер почне оновлення.

Будьте терплячі, так як це може зайняти кілька хвилин, щоб поновлення завершили завантаження.

9 Коли оновлення будуть завершені, на екрані з'явиться питання, чи хочете ви включити виявлення PUP. Настійно рекомендуємо вибрати « Включити PUPs Detection»Для захисту вашого комп'ютера від неприємних програм, такі рекламне ПО небажані нам.

10 Тепер бачимо на екрані меню остаточної установки. Натисніть кнопку «Готово» , Щоб завершити настройку і автоматично запустити Emsisoft Anti-Malware.

11 Emsisoft Anti-Malware тепер запуститься і відобразить початковий екран.

Після того як вийшов початковий екран антивіруса Emsisoft , Будь ласка, клацніть лівою кнопкою миші по розділу «Сканування».

12 Тепер вибираємо, який тип сканування ви хочете виконати.

Екран вибору сканування Виберіть варіант сканування шкідливих програм, щоб почати сканування вашого комп'ютера на наявність інфекцій. опція Malware Scan займе більше часу, ніж Quick Scan, але також буде найбільш ретельної. Оскільки ви тут, щоб чистити інфекції, варто чекати, щоб переконатися, що ваш комп'ютер правильно сканувати.

13 Emsisoft Anti-Malware тепер почне сканувати ваш комп'ютер на руткіти і шкідливе ПО. Зверніть увагу, що виявлені інфекції на зображенні нижче можуть відрізнятися від того, для чого призначений цей посібник.

Скануючий екран Будьте обережні, поки Emsisoft Anti-Malware сканує ваш комп'ютер.

14 По завершенні сканування програма відобразить результати сканування, які показують, які інфекції виявлені. Зверніть увагу, що через оновленої версії Emsisoft Anti-Malware знімок екрана нижче може виглядати інакше, ніж інша частина керівництва.

Результати сканування Тепер натисніть кнопку «Карантин», яка видалить інфекції і помістить їх в карантин програми. Тепер ви будете на останньому екрані програми установки Emsisoft Anti-Malware, яку ви можете закрити. Якщо Emsisoft запропонує вам перезавантажити комп'ютер, щоб завершити процес очищення, дозвольте йому це зробити. В іншому випадку ви можете закрити програму.

15 Тепер завантажте AdwCleaner і збережіть його на робочому столі. AdwCleaner сканує ваш комп'ютер на рекламні програми, які, можливо, були встановлені на вашому комп'ютері без вашого відома. Ви можете завантажити AdwCleaner з наступного URL-адреси

16 Коли AdwCleaner завершить завантаження, двічі клацніть значок AdwCleaner.exe, який тепер відображається на робочому столі. Після подвійного клацання по значку відкриється програма AdwCleaner, і вам буде надано ліцензійну угоду програми. Після того, як ви прочитаєте його, натисніть кнопку «Я згоден», якщо ви хочете продовжити. В іншому випадку натисніть кнопку «Я не згоден», щоб закрити програму. Якщо Windows запропонує вам, чи хочете ви запустити AdwCleaner, увімкніть JavaScript запустити.

Якщо ви виберете для продовження, вам буде представлений екран запуску, як показано нижче.

17 Тепер натисніть кнопку «Сканувати» в AdwCleaner. Тепер програма почне пошук відомих рекламних програм, які можуть бути встановлені на вашому комп'ютері. По завершенні він відобразить всі елементи, знайдені в розділі «Результати» на екрані вище. Перегляньте результати і спробуйте визначити, чи містять перераховані програми ті, які ви не хочете встановлювати. Якщо ви знайдете програми, які необхідно зберегти, зніміть позначки з пов'язаних з ними записів. Для багатьох людей зміст розділу «Результати» може здатися заплутаним. Якщо ви не бачите ім'я програми, яке, як ви знаєте, не повинно бути видалено, перейдіть до наступного кроку.

18 Щоб видалити рекламні програми, виявлені на попередньому етапі, натисніть кнопку «Очистити» на екрані AdwCleaner. Тепер AdwCleaner запропонує вам зберегти будь-які відкриті файли або дані, оскільки програмі необхідно закрити будь-які відкриті програми, перш ніж вони почнуть чистку. Збережіть свою роботу і натисніть кнопку «ОК». Тепер AdwCleaner видалить всі виявлені рекламні програми з вашого комп'ютера. Коли це буде зроблено, з'явиться попередження, в якому пояснюються, що представляють собою PUP (потенційно небажане програмне забезпечення) і рекламне ПО. Прочитайте цю інформацію і натисніть кнопку OK. Тепер вам буде представлено попередження, в якому говориться, що AdwCleaner необхідно перезавантажити комп'ютер.

Підказка по перезавантаженні AdwCleaner Натисніть кнопку OK, щоб AdwCleaner перезавантажив ваш комп'ютер.

19 Коли ваш комп'ютер перезавантажується і ви увійшли в систему, AdwCleaner автоматично відкриє файл журналу, що містить файли, ключі реєстру і програми, які були видалені з вашого комп'ютера.

Журнал AdwCleaner Перегляньте цей файл журналу і закрийте вікно «Блокнот».

Пишіть в момментаріях ваші проблеми по троянам і чи потрібна нова стаття по іншим видам Прихованих Майнер.

Останнім часом з'явилося кілька новин про те, що деякі сайти займаються Майнінг криптовалюта, використовуючи для цього комп'ютерні потужності своїх відвідувачів. Спочатку з'явилося повідомлення про, потім о, обидва сайти займалися цим таємно від користувачів.

Це призвело до невдоволення з боку користувачів цих сайтів, а також багато інших користувачів почали турбується, а чи не будуть за допомогою їх комп'ютера Майні криптовалюта без їх згоди при відвідуванні певного сайту. Дійсно така небезпека є і ось що можна зробити для того щоб її уникнути.

таємний майнінг

Справедливості заради треба відзначити, що багато користувачів були не стільки незадоволені, що ресурсами з комп'ютера користуються для Майнінг криптовалюта, скільки тим фактом, що це відбувається таємно, без їх відома і згоди.

Багато насправді висловилися позитивно про цей спосіб монетизації сайтів.

Що можна зробити?

Якщо ж ви ставитеся до тих, хто не бажає, щоб ресурси вашого комп'ютера використовували для Майнінг з вашого на те згоди чи ні, то ось що можна зробити.

Перевірте завантаженість процесора

Просто відкривши диспетчер задач (в Windows він викликається по Ctrl-Shift-Esc, в Chrome є свій диспетчер задач) на своєму комп'ютері і подивившись на використання CPU, ви можете швидко зрозуміти краде чи хтось вашу обчислювальну потужність чи ні. Якщо у вас запущена якась «важка» програма, (наприклад, ви вмонтовуєте відео, або у вас працює Photoshop) - це нормально. Якщо ж все, що у вас запущено - це браузер з 5-7 вкладками, варто перевірити всі уважно.

Помітний сплеск завантаженості CPU при відвідуванні певного сайту, є очевидною ознакою запуску Javascript, який використовує вашу обчислювальну потужність.

Якщо ви бачите подібний процес в диспетчері, можна там же спробувати зупинити його і подивитися, що буде далі - споживання ресурсів комп'ютера має різко впасти.

Якщо процес самовідновився через якийсь час - це тривожна ознака. Можна спробувати відключити комп'ютер від інтернету і подивитися, впала чи навантаження. Якщо немає - перевірити ПК свіжим антивірусом. Такі скрипти можуть запускатися не тільки з браузера, а й з ПК.

Крім того, якщо у вас немає жодного активного процесу, але процесор і раніше занадто завантажений, можливо, ваші ресурси все ж використовують для Майнінг.

Блокувальники реклами можуть допомогти

Зазвичай, для того щоб ваші ресурси почали використовувати для Майнінг необхідно відвідування певного сайту, який використовує один з безлічі скриптів для цього, але іноді Майнінг може бути ініційований кліком по рекламному оголошенню.

Використання блокувальника реклами, наприклад Adblock, Має допомогти впорається з цією проблемою. Крім того, блокувальник реклами також відфільтровує багато з відомих скриптів, які використовуються для Майнінг криптовалюта. Один з таких скриптів називається Coinhive, і потрібно відзначити, що його творці не вважають себе творцями шкідливого ПЗ.

Coinhive намагається вирішити проблему монетизації сайтів альтернативним способом. Розробники цього скрипта публічно висловилися проти Showtime за використання свого скрипта без попередження користувачів.

Так само з'явилися розширення, які дозволяють відловлювати такі програми-Майнер. Для Chrome це No Coin. Хоча перед установкою краще його також перевірити.

Інші шкідливі програми

Потрібно відзначити, що не тільки майнінговие скрипти значно завантажують процесор, є й інші шкідливі програми, які використовуються для цього.

Універсального рішення для всіх таких проблем не існує, але перше що ви можете зробити - це ідентифікувати проблему. Для цього необхідно просто перевірити завантаженість процесора в диспетчері завдань.

Вірус-майнер (майнер, біткоіни майнер) - це шкідливе програмне забезпечення, основною метою якого є Майнінг (mining) - заробіток криптовалюта з використанням ресурсів комп'ютера жертви. В ідеальному випадку, таке програмне забезпечення повинно працювати максимально скритно, мати високу живучість і низьку ймовірність виявлення антивірусними програмами. "Якісний" вірус-майнер малопомітний, майже не заважає роботі користувача і насилу виявляється антивірусним ПЗ. Основним зовнішнім проявом вірусного зараження є підвищене споживання ресурсів комп'ютера і, як наслідок - додатковий нагрів і зростання шуму від вентиляторів системи охолодження. У разі "неякісного" вірусу-Майнер, на додаток до перерахованих симптомів, спостерігається зниження загальної продуктивності комп'ютера, короткочасні подвисания або навіть непрацездатність деяких програм.

Що таке Майнінг?

Слово "Майнінг" походить від англійського "mining", що означає "розробка корисних копалин". Майнінг - це не що інше, як процес створення нових одиниць криптовалюта (кріптомонет) за спеціальним алгоритмом. На сьогоднішній день існує близько тисячі різновидів криптовалюта, хоча всі вони використовують алгоритми і протоколи найбільш відомого зачинателя - Bitcoin .

Процес Майнінг є рішення складних ресурсномістких завдань для отримання унікального набору даних, що підтверджує достовірність платіжних транзакцій. Швидкість знаходження і кількість одиниць криптовалюта, одержуваних у вигляді винагороди, різні в системах різних валют, але в будь-якому випадку вимагають значних обчислювальних ресурсів. Потужність обладнання для Майнінг зазвичай вимірюється в мегахешах (MHash) і гігахешах (GHash). Так як складність Майнінг найбільш дорогих криптовалюта вже давно недосяжна на окремо взятому комп'ютері, для заробітку використовуються спеціальні ферми, Що представляють собою потужні обчислювальні системи промислового рівня і пули Майнінг - комп'ютерні мережі, в яких процес Майнінг розподіляється між усіма учасниками мережі. Майнінг в загальному пулі - це єдиний спосіб для простого користувача взяти участь в отриманні хоча б невеликого прибутку від процесу створення кріптомонет. Пули пропонують різноманітні моделі розподілу прибутку, що враховують в тому числі і потужність клієнтського обладнання. Ну і цілком зрозуміло, що загнавши в пул десятки, сотні і навіть тисячі заражених Майнер комп'ютерів, зловмисники отримують певний прибуток від експлуатації чужого комп'ютерного обладнання.

Віруси-Майнер націлені на довгострокове використання комп'ютера жертви і при зараженні, як правило, встановлюється допоміжний ПО, відновлює основну програму Майнінг в разі її пошкодження, знищення антивірусом або аварійного завершення з яких-небудь причин. Природно, основна програма налаштовується таким чином, щоб результати Майнінг були прив'язані до облікових записів зловмисників у використовуваному пулі. В якості основної програми використовується легальне програмне забезпечення для Майнінг, яке завантажується з офіційних сайтів криптовалюта або спеціальних ресурсів пулів і, фактично, не є шкідливим програмним забезпеченням (вірусом, вірусним програмним забезпеченням - ПО). Це ж ПО ви можете самі скачати і встановити на власному комп'ютері, не викликаючи особливих підозр у антивіруса, використовуваного у вашій системі. І це говорить не про низьку якість антивірусного ПО, а скоріше навпаки - про відсутність подій помилкової тривоги, адже вся різниця між Майнінг, корисним для користувача, і Майнінг, корисним для зловмисника полягає в тому, кому будуть належати його результати, тобто від облікового запису в пулі.

Як уже згадувалося, головною ознакою зараження системи Майнер є інтенсивне використання ресурсів будь-якої програмою, що супроводжується збільшенням рівня шуму системного блоку, а також температури комплектуючих. При чому, в багатозадачному середовищі, як правило, вірус працює з найнижчим пріоритетом, використовуючи ресурси системи тільки тоді, коли комп'ютер простоює. Картина виглядає так: комп'ютер нічим не зайнятий, простоює, а його температура комплектуючих і видається вентиляцією шум нагадує ігровий режим в який-небудь дуже навіть вимогливою комп'ютерної стрелялке. Але, на практиці спостерігалися випадки, коли пріоритет програм для Майнінг встановлювався в стандартне значення, що призводило до різкого падіння корисного швидкодії. Комп'ютер починає моторошно "гальмувати" і їм практично неможливо було користуватися.

Видалення Майнера з використанням відкату на точку відновлення

Найпростішим способом позбавлення від небажаного ПЗ є повернення попереднього стану Windows з використанням контрольних точок відновлення, часто званий відкотом системи. Для цього необхідно, щоб існувала точка відновлення, створена в той момент часу, коли зараження ще не відбулося. Для запуску засобу відновлення можна скористатися комбінацією клавіш Win + r і набором команди rstrui.exe в розпочатому поле введення. Або скористатися головним меню - "Програми - Стандартні - Службові - Відновлення системи". Далі, вибираєте потрібну точку відновлення і виконуєте відкат на неї. При успішному відкат, в більшості випадків, вдається позбутися від вірусу без особливих зусиль. Якщо ж немає підходящої точки відновлення або відкат не привів до нейтралізації вірусу, доведеться шукати більш складні шляхи для вирішення цієї проблеми. При цьому можна скористатися стандартними засобами операційної системи або спеціалізованими програмами, що дозволяють виконувати пошук і завершення процесів, отримання відомостей про їх властивості, перегляд і модифікацію точок автозапуску програм, перевірки цифрових підписів видавців і т.п. Така робота вимагає певної кваліфікації користувача і навичок у використанні командного рядка, редактора реєстру і інших службових утиліт. Використання ж декількох антивірусних сканерів різних виробників, програм для очищення системи і видалення небажаного ПЗ може не дати позитивного результату, і в разі з Майнер - зазвичай не дає.

Пошук і видалення Майнера з використанням утиліт з пакета Sysinternals Suite

Складність виявлення програм, що використовуються для Майнінг, полягає в тому, що вони не виявляються більшістю антивірусів, оскільки фактично не є вірусами. Є ймовірність, що антивірус може запобігти процесу установки Майнера, оскільки при цьому використовуються не зовсім звичайні програмні засоби, але якщо цього не сталося, шукати і видаляти шкідливу (з точки зору власника зараженого комп'ютера) програму, швидше за все, доведеться вручну. До відома, в червні 2017р. середній рівень виявлення шкодочинності подібного ПО, наприклад, засобами відомого ресурсу Virustotal становив 15-20/62 - тобто з 62 антивірусів, тільки 15-20 порахували його шкідливою програмою. При чому, найбільш популярні і якісні антивірусні програми в цю групу не входять. Для добре відомих або виявлених щодо давно вірусів рівень виявлення шкодочинності може бути вище завдяки сигнатурам антивірусних баз даних і прийняття деяких додаткових заходів розробниками антивірусних програм. Але все це далеко не завжди дозволяє позбутися від вірусу Майнера без додаткових зусиль, які потрібно докласти для вирішення проблеми.

Нижче розглядається практичний випадок зараження системи шкідливим ПЗ для Майнінг. Зараження сталося при використанні модифікованих ігрових програм, завантажених з одного з недовірених торент-трекерів. Хоча спосіб зараження міг бути і іншим, як і для будь-якого іншого шкідливого ПЗ - перехід по посиланнях на неперевірених ресурсах, відкриття поштових вкладень і т.п.

Набір шкідливих програм для Майнінг на користь зловмисників реалізує наступні функції:

Забезпечення свого автоматичного запуску. Одна або кілька програм виконують модифікацію ключів реєстру для автоматичного запуску в разі непередбаченого завершення, перезавантаження або вимкнення живлення. Періодично (приблизно 1 раз в хвилину) ключі реєстру проглядаються і в разі їх порушення (видалення, зміни) - відновлюються.

Автоматичного запуску програми для Майнінг. Програма також запускається автоматично і параметри її автозапуску відслідковуються і відновлюються однією або декількома допоміжними програмами.

Поки в пам'яті комп'ютера виконуються процеси, що забезпечують автоматичний запуск, немає сенсу видаляти виконувані файли і записи в реєстрі - вони все одно будуть відновлені. Тому, на першому етапі необхідно виявити і примусово завершити всі процеси, що забезпечують автоматичний перезапуск шкідливих програм.

Для пошуку та усунення вірусу-Майнера в сучасних ОС можна обійтися стандартними засобами або, наприклад, більш функціональним ПО з пакета Sysinternals Suite від Microsoft

- Process Explorer - дозволяє переглядати докладні відомості про процеси, потоках, використанні ресурсів і т.п. Можна змінювати пріоритети, припиняти (відновлювати) роботу потрібних процесів, вбивати процеси або дерева процесів. Утилітою зручно користуватися для аналізу властивостей процесів і пошуку шкідливих програм.

- Autoruns - зручний засіб контролю автозапуску програм. Контролює практично всі точки автоматичного запуску, починаючи від папок автозавантаження і закінчуючи виконанням вправ планувальника. Дозволяє швидко виявити і ізолювати програми, запуск яких не бажаний.

В якості допоміжного ПЗ можна також скористатися утилітою Process Monitor, Яка в складних випадках дозволяє відстежувати активність конкретних програм з використанням фільтрів (звернення до реєстру, файлової системи, мережі і т.п.) А також зручною для пошуку файлів і папок утилітою SearhMyfiles від Nirsoft, головною особливістю якої є можливість пошуку файлів і папок з використанням відміток часу файлової системи NTFS (Time stamp). В якості критеріїв пошуку, можна задавати діапазони часу створення, модифікації і доступу для файлів і папок (Created, Modified, Accessed). Якщо відомо приблизний час зараження або злому, можна зібрати повний список файлів, які були створені або змінені в заданий період.

Але повторюся, для пошуку і видалення Майнер, як правило, досить використання стандартних засобів Windows - диспетчера задач і редактора реєстру. Просто перераховане вище ПО простіше у використанні і зручніше для пошуку шкідливих програм.

Відомості про використання ресурсів системи, які відображаються Process Explorer:

колонка CPU відображає ступінь використання центрального процесора різними процесами. System Idle Process - це не процес, а індикація програмою режиму простою (бездіяльності). В результаті бачимо, що процесор знаходиться в режимі бездіяльності 49.23% часу, частина процесів використовують соті частки його ресурсів, а основним споживачем CPU є процес system.exe - 49.90%. Навіть при поверхневому аналізі властивостей процесу system.exe, Помітні факти, які викликають обгрунтовану підозру:

Дивне опис (Description) - Microsoft Center

Дивне ім'я компанії (Company Name) - www.microsoft.com Інші процеси, дійсно мають відношення до Microsoft в якості опису мають рядок Microsoft Corporation

Докладніший аналіз виконується через контекстне меню, яке викликається правою кнопкою мишки - пункт Properties:

Шлях виконуваного файлу ProgramData \\ System32 \\ system.exe також є явно підозрілим, а перехід в паку з виконуваним файлом при натисканні на відповідну кнопку Explore показав, що і сама папка і виконуваний файл мають атрибути "Прихований" ( "Hidden"). Ну, і параметри командного рядка:

-o stratum + tcp: //xmr.pool.minergate.com: 45560 --donate-level \u003d 1 -u [Email protected]* -P x -t 2 -k явно вказують на те, що процес system.exe - це програма-майнер (для використання пулів pool.minergate.com).

поле Autostart Location містить значення n / a, Що означає, що даний процес не має точок автоматичного запуску. Батьківський процес для system.exe має ідентифікатор PID \u003d 4928, і на даний момент не існує ( Non existent Process), Що з великою часткою ймовірності говорить про те, що запуск процесу був виконаний з використанням командного файлу або програми, яка завершила свою роботу після запуску. кнопка Verify призначена для примусової перевірки наявності батьківського процесу.

кнопка Kill Process дозволяє завершити поточний процес. Це ж дію можна виконати з використанням контекстного меню, що викликається правою кнопкою мишки для обраного процесу.

вкладка TCP / IP дозволяє отримати список мережевих з'єднань процесу system.exe:

Як видно, процес system.exe має встановлене з'єднання локальний комп'ютер - віддалений сервер static.194.9.130.94.clients.your-server.de:45560.

В даному реальному випадку, процес system.exe мав мінімальний пріоритет і майже не впливав на роботу інших процесів, які не потребують підвищеного споживання ресурсів. Але для того, щоб оцінити вплив на поведінку зараженої системи, можна встановити пріоритет Майнера рівний пріоритету легальних програм і оцінити ступінь погіршення корисної продуктивності комп'ютера.

При примусовому завершення процесу system exe, він знову запускається через кілька секунд. Отже, перезапуск забезпечується якийсь інший програмою або службою. При продовженні перегляду списку процесів, в першу чергу викликає підозри процес Security.exe

Як видно, для запуску програми Security.exe використовується точка автозапуску з стандартного меню програм користувача, і виконуваний файл Security.exe знаходиться в тій же прихованій папці C: \\ ProgramData \\ System32

Наступним кроком можна примусово завершити Security.exe, а потім - system.exe. Якщо після цього процес system.exe більше не запуститься, то можна приступати до видалення шкідливих файлів і налаштувань системи, пов'язаних з функціонуванням шкідливих програм. Якщо ж процес system.exe знову буде запущено, то пошук допоміжних програм, що забезпечують його запуск потрібно продовжити. В крайньому випадку, можна послідовно завершувати всі процеси по одному, кожен раз завершуючи system.exe до тих пір, поки не припиниться його перезапуск.

Для пошуку і відключення точок автозапуску зручно використовувати утиліту Autoruns з пакету Sysinternals Suite:

На відміну від стандартного кошти msconfig.exe, утиліта Autoruns виводить практично всі можливі варіанти автоматичного запуску програм, що існують в даній системі. За замовчуванням, відображаються всі (вкладка Everything), але при необхідності, можна відфільтрувати окремі записи за типами перемикаючись на вкладки у верхній частині вікна (Known DLLs, Winlogon, ... Appinit).

При пошуку записів, що забезпечують автозапуск шкідливих програм, в першу чергу потрібно звертати увагу на відсутність цифрового підпису розробника в колонці Publisher. Практично всі сучасні легальні програми мають цифровий підпис, за рідкісним винятком, до якого, як правило, відносяться програмні продукти сторонніх виробників або драйвери / служби від Microsoft. Другим насторожує принципом є відсутність опису в колонці Description. В даному конкретному випадку, під підозрою виявляється запис, що забезпечує відкриття ярлика Security.lnk в папці автозавантаження користувача:

C: \\ Users \\ Student \\ AppData \\ Roaming \\ Microsoft \\ Windows \\ Start Menu \\ Programs \\ Startup

Ярлик посилається на файл c: \\ programdata \\ system32 \\ security.exe

Відмітка часу (Time Stamp) дає дату і час зараження системи - 23.06.2017 19:04

Будь-яку із записів, що відображаються утилітою Autoruns, можна видалити або відключити, з можливістю подальшого відновлення. Для видалення використовується контекстне меню або клавіша Del. Для відключення - знімається галочка обраної записи.

Приховану папку c: \\ programdata \\ system32 \\ можна видалити разом з усім її вмістом. Після чого перезавантажитися і перевірити відсутність шкідливих процесів.

Під прихованим Майнер мається на увазі програма-вірус, яка використовує ресурси вашого комп'ютера для. Робиться це в автоматичному режимі без відома користувача і будь-яких попереджень.

Найчастіше зловити прихований майнер можна при скачуванні файлів з неперевірених джерел. Зазвичай це якийсь піратський контент, який користується великою популярністю серед користувачів. Також наштовхнутися на подібний вірус можна при отриманні різних спам-розсилок. У будь-якому варіанті ви отримуєте бажане, а разом з цим на ваш комп'ютер може бути завантажений прихований майнер або утиліта для його автоматичного завантаження з Мережі.

Чим небезпечний прихований майнер

Майнер змушує ваш ПК працювати на максимальному рівні продуктивності, а значить, навіть при виконанні нескладних офісних завдань комп'ютер може неабияк гальмувати. Тривала робота на межі своїх можливостей рано чи пізно позначиться на «залізі».

В першу чергу може постраждати відеокарта, процесор, оперативна пам'ять і навіть система охолодження, яка просто не зможе впоратися з щоденними стрес-тестами.

Перша ознака присутності Майнера - гальмування на простих завданнях і незамолкающій кулер.

Також Майнер цілком можуть отримати доступ до ваших персональних, що зберігаються на комп'ютері. Тут в хід може піти все: починаючи від простих фотографій і закінчуючи даними різних акаунтів і електронних гаманців. А це вже дуже небезпечно.

Як Майнер вдається ховатися

Зазвичай за роботу Майнера на вашому ПК відповідає окремий сервіс, який дозволяє ховати і маскувати загрозу. Саме такий супутник контролює автозапуск і поведінку вірусу, роблячи його непомітним для вас.

Наприклад, даний сервіс може призупиняти роботу Майнера при запуску якихось важких шутерів. Це дозволяє звільнити ресурси комп'ютера і віддати їх грі, щоб користувач не відчув гальм і просідання частоти кадрів. За закриття шутера вірус знову візьметься за роботу.

Цей же сервіс супроводу здатний відстежити запуск програм моніторингу активності системи, щоб швидко відключити майнер, вивантаживши його зі списку запущених процесів. Однак особливо небезпечні віруси і зовсім можуть спробувати відключити засоби сканування на вашому комп'ютері, виключивши виявлення.

Як виявити прихований майнер

Якщо ви стали помічати, що комп'ютер став неабияк гальмувати і грітися, в першу чергу варто запустити перевірку антивірусом зі свіжими базами. У випадку з простими Майнер проблем бути не повинно. буде виявлена \u200b\u200bі усунена. З добре приховують свою присутність вірусами доведеться повозитися.

Відстежити приховані Майнер дозволить систематичний моніторинг «Диспетчера завдань», який на Windows можна відкрити за допомогою комбінації клавіш Ctrl + Alt + Del або Ctrl + Shift + Esc. Протягом 10-15 хвилин вам потрібно просто поспостерігати за активними процесами при повній бездіяльності. Закрийте всі програми і навіть не ворушити мишкою.

Якщо при такому сценарії якоїсь з активних або ж раптово з'явилися процесів продовжує навантажувати «залізо» - це вірний привід задуматися. Походження такого процесу можна перевірити за допомогою вкладки «Подробности» або через пошук в інтернеті.

Багато приховані Майнер, що використовують в основному ПК, можуть не навантажувати центральний процесор, а значить, і в «Диспетчері завдань» на старих версіях Windows вони не засвітяться. Саме тому краще оцінювати навантаження на «залізо» за допомогою спеціалізованих утиліт, таких як AnVir Task Manager або Process Explorer. Вони покажуть куди більше стандартного інструменту Windows.

Деякі Майнер здатні самостійно відключати «Диспетчер завдань» через кілька хвилин після його запуску - це теж ознака потенційної загрози.

Окремо варто виділити ситуацію, коли «Диспетчер завдань» демонструє надмірне навантаження на процесор з боку браузера. Це цілком може бути результатом впливу веб-Майнер, функціонуючого через певний веб-сайт.

Як видалити прихований майнер з комп'ютера

Першим і самим логічним зброєю в боротьбі проти такої напасті є антивірус, про що вже було сказано вище. Однак нерідко Майнер не розпізнає як шкідливі загрози. Максимум вони прирівнюються до потенційно небезпечним, особливо якщо на комп'ютер потрапили разом з піратською грою або зламаної програмою.

У разі відсутності у вас потужного антивіруса можна вдатися до допомоги невеликих лікуючих утиліт. У приклад можна привести Dr.Web CureIt! , Яку нерідко використовують для пошуку прихованих Майнер. Поширюється вона безкоштовно.

Вручну, без будь-яких сторонніх інструментів видалення вірусу також можливо, але ви повинні бути на 100% впевнені, що виявили саме майнер. В такому випадку вам потрібно перейти до реєстру, набравши regedit в пошуку Windows, і в ньому сполучення клавіш Ctrl + F запустити внутрішній пошук (або ж через «Правка» → «Знайти»).

У відкрилася рядку введіть назву процесу з диспетчера, за яким, на вашу думку, ховається майнер. Всі виявлені збіги потрібно видалити через контекстне меню. Після цього можна перезавантажити комп'ютер і оцінити зміни навантаження на «залізо».

висновок

Важливо розуміти, що прихований майнер небезпечний не тільки надмірним навантаженням на ПК, але і можливістю перехоплення ваших особистих даних. При першому ж натяку на таку загрозу запустіть глибоку перевірку пам'яті комп'ютера актуальним антивірусом.

Не забувайте, що гальмувати ваш комп'ютер може по самим різним. Більш важливою ознакою загрози прихованого Майніг є надмірна активність ПК під час простою або при виконанні елементарних завдань. Звертайте увагу на роботу кулерів відеокарти: вони не повинні шуміти при відсутності навантаження.

Якщо ж ви все-таки виявили невідомий процес, навантажує комп'ютер під зав'язку, з ним виразно потрібно розібратися. За допомогою антивірусного ПЗ або ж вручну, відшукавши і видаливши його через реєстр.

Якщо ваш комп'ютер став «гальмувати», а платежі за електрику раптово збільшилися в кілька разів, можливо, ви стали жертвою хакерів, які промишляють прихованим (чорним) Майнінг.

Прихований Майнінг: як виявити та чи можна усунути проблему?

Щоб зайнятися видобутком криптовалюта (Майнінг), звичайному користувачеві потрібно кілька речей: комп'ютерна техніка великої потужності, наявність спеціального ПО для Майнінг, надійний сервер для розподілу підписок між членами спільноти Майнер і, звичайно, впевненість у власних силах. Але не все так просто. З кожним днем \u200b\u200bпроцес видобутку Bitcoin ускладнюється, конкуренція між здобувачами зростає.

Витрати на електрику - тема окремої розмови. Уже сьогодні одна транзакція «з'їдає» електроенергії в півтора рази більше, ніж споживає за день середньостатистична американська сім'я. А згідно з експертними прогнозами, через три роки витрати на виробництво найпопулярнішою цифровий валюти будуть порівнянні з річним витратою електроенергії такої країни, як Данія.

Посилення умов повністю вивели з гри видобувачів біткоіни з домашніми комп'ютерами, але у них поки ще залишилася можливість заробляти на альтернативних монетах - т. Зв. альткоінах. З цієї причини деякі «підприємливі» програмісти шукають способи заробітку цифровий готівки з використанням чужих комп'ютерних потужностей.

Кріптодобича на чужому горбу: як це роблять хакери

У будь-якому виді людської діяльності є ті, хто працює чесно і ті, хто намагається поживитися за рахунок інших. І світ Майнінг не став винятком. Хтось не оплачує електрику, підтягуючи кабель до трансформатора, хтось користується контрабандними китайськими відеокартами. Але більше поширений інший спосіб «гри без правил» - використання для Майнінг чужих комп'ютерів без відома їх господарів.

Так, восени 2017 року фахівці центру Касперського розкрили дві масштабних мережі, що займаються Майнінг, - на 4 тис. І 5 тис. Одиниць обладнання. Як з'ясувалося, власники заражених комп'ютерів не мали поняття про свою участь у видобутку віртуальних монет, а ось творці шкідливої \u200b\u200bпрограми щомісяця поповнювали свої гаманці тисячами доларів.

Найчастіше чорні Майнер беруть «в роботу» Лайткоіни, Feathercoin і Monero - види криптовалюта, які не потребують надпотужного обладнання. Тому жертвами стають в основному користувачі звичайних домашніх і ігрових комп'ютерів.

Види чорного Майнінг

Розглянемо два різновиди незаконного видобутку криптовалюта, які використовують зловмисники.

1. Прихований браузерні Майнінг

Напевно ви знаєте, що відвідування невідомих інтернет-ресурсів може принести шкоду комп'ютеру. Це правило застосовується і в нашому випадку. Досить зайти на сторінку, в скрипті якої вписана шахрайський код, і ваш ноутбук або комп'ютер миттєво стане складовим елементом чиєїсь системи для генерації віртуальних монет.

Сьогодні розсадником зарази можуть стати вже не тільки невідомі сайти, але і, як з'ясувалося не так давно, цілком шановні ресурси. У вересні поточного року стався скандал, пов'язаний з офіційним сайтом великого українського медійного холдингу, відвідувачі якого стали мимовільними Майнер монери. Подібне звинувачення трохи пізніше було висунуто відомому телеканалу ShowTime (США).

1. Вірус-Майнер

Перша інформація про вірус-Майнер відноситься до 2011 року. З того часу вони продовжує атакувати техніку рядових користувачів в різних країнах світу. Заразитися можна, перейшовши за посиланням з e-mile. У зоні ризику - комп'ютери великої потужності, переважно ігрові.

В цілому віруси більш небезпечні в порівнянні з браузерні Майнінг, оскільки вони активніше використовують потужності комп'ютерної техніки. При цьому їх жертвами стають сотні тисяч користувачів по всьому світу.

Як перевірити прихований Майнінг?

Перший і найочевидніший ознака зараження комп'ютера - уповільнення роботи. Якщо техніка більшу частину часу працює нормально і починає гальмувати тільки на одному сайті, можливо, чорні Майнер проникли в ваш комп'ютер через браузер. Найнебезпечніше в цьому плані сайти, що вимагають тривалого часу знаходження користувача, - торрент-трекери, ресурси для комп'ютерних ігор і перегляду фільмів. Дуже часто атакам вірусу піддається техніка геймерів з потужними процесорами і відеокартами. Ще один симптом зараження - різке збільшення споживання електрики.

Головна складність перевірки на прихований Майнінг полягає в тому, що антивірусні програми ідентифікують його не як вірус, а як потенційно небезпечне ПО. Адже фактично Майнер тільки крадуть ресурси чужого комп'ютера, але не можуть стати причиною технічних збоїв або поломок. Це теж важливо розуміти.

Вірусні програми прихованого Майнінг

Перелічимо основні шкідливі програми, про які важливо знати користувачам для підвищення безпеки свого обладнання.

1. Miner Bitcoin (троян). Як правило, люди завантажують свої комп'ютери приблизно на 18-20% потужності, в той час як Майнер біткоіни підвищує цей показник до 80-ти, а іноді і до 100%. Крім незаконного використання ресурсів, шпигунська програма краде особисту інформацію та навіть може відкрити зловмисникам доступ до ваших гаманцях. Поширюється цей вид трояна переважно через скайп; його також можна підхопити, завантажуючи фото або документи Word.
2. EpicScale. Дану програму виявили відвідувачі uTorrent. Відповідаючи на обґрунтовані звинувачення, власники компанії заявили, що отримані таким способом кошти вони відправляють ... на благодійність. При цьому користувачі не отримали пояснень з приводу того, чому їх «забули» вчасно поінформувати про долю в цій «благодійної акції». Примітно, що від EpicScale неможливо позбутися повністю, після видалення виконавчі файли вірусного ПЗ залишаються в комп'ютері. Пізніше аналогічний скандал розгорівся навколо торрент-трекера Pirate Bay.
3. JS / Coin Miner. Шкідлива програма, що дозволяє добувати криптовалюта через браузери чужих комп'ютерів шляхом впровадження спеціальних скриптів. У зоні особливого ризику - користувачі порталів онлайн-перегляду відео та ігрових сайтів. Такі сайти завантажують процесор, тому в більшості випадків JS / CoinMiner залишається непоміченим. Для виявлення шахрайського скрипта потрібно перевірити, чи є він в переліку miner-скриптів.

Як блокувати прихований браузерні Майнінг

На сьогоднішній день є кілька дієвих способів захисту від атак чорних Майнер на браузер:

1. Відредагувати файл hosts.
2. Встановити браузерні розширення NoCoin і утиліту Anti-Web Miner.
3. Відключити в своєму браузері JavaScript, використовуючи No Script.
4. Додати антімайнінг uBlock і AdBlock.

Але якщо з ДжаваСкрипт і утилітами все досить зрозуміло, то редакція hosts потребує більш детальному розгляді. Нижче ми розміщуємо інструкцію, як це зробити:

Після цих нескладних дій ваш браузер отримає надійний захист від зараження.

Захист від прихованого вірусного Майнінг: запобіжні заходи

Базові правила захисту: не ходіть по сумнівним посиланнях, які не качайте продукти, які не мають ліцензії; Не активуються ключі з незрозумілих джерел.

А тепер ще кілька важливих правил для безпечної роботи з комп'ютером:

1. Недостатньо просто встановити антивірус, потрібно систематично оновлювати його.
2. Створіть собі обліковий запис в Windows і щодня заходите через неї. Оскільки для установки будь-яких програм потрібні права адміністратора, ризик випадково завантажити і запустити шкідливу програму буде усунутий.
3. Для техніки від компанії Apple кращим рішенням буде установка функції, що допускає скачування ПО тільки з AppStore.
4. При перших ознаках уповільнення швидкості запускайте «диспетчер задач» і перевірте, чи немає на вашому комп'ютері програми, яка використовує його на межі його потужності (80-100%). Навіть якщо ви її не знайдете, не поспішайте заспокоюватися, адже існують віруси, які задіюють менше потужності.
5. Встановіть спеціальні утиліти, які забезпечують захист від вірусів і повідомляють про оновлення в реєстрі. Оптимальний варіант - одночасна установка Request Policy Continued і uMatrix, а для тих, хто використовує Google Chrome, на додаток до них блокувальник Антімайнер.

Якщо ж вам не вдається самостійно знайти небезпечну програму, можете перевстановити Windows, запустити інший антивірус або звернутися за допомогою до професійного програмісту.

• Добірки новин один раз в день до вас на Email:
• Збірки Криптонова 1 раз в день в Телеграма: BitExpert
• Інсайда, прогнози обговорення важливих тем у нас в телеграм чаті: BitExpert Chat
• Вся стрічка Криптонова журналу BitExpert у вас в Телеграма: BitExpert LIVE

Знайшли помилку в тексті? Виділіть її та натисніть CTRL + ENTER