Как найти и удалить скрытый майнер с компьютера

Программа, предназначенная для добычи криптовалюты — она решает сложные математические задачи, принося за это вознаграждение в виде монет. (Если вы читаете эту статью — не вам.)

Не обязательно. Но если вы его не ставили, а он у вас стоит — скорее всего, кто-то недружественный из интернета сделал это за вас.

1. Пиратский софт и «кряки». Самый популярный способ. Вы скачиваете бесплатно Microsoft Office, Adobe Photoshop или новую игру с торрента. Внутри установщика — троян, который на фоне незаметно ставит майнер.
2. Фишинг и фальшивые обновления. Вам приходит письмо от имени известного сервиса с требованием «обновить браузер» или «подтвердить данные». Вместо обновления загружается вирус.
3. Веб-майнеры (криптоджекинг). Этот вариант работает даже без скачивания файлов: просто открываете вредоносный сайт, и JavaScript-скрипт начинает использовать ваш процессор для майнинга, пока страница открыта.
4. Зараженные диски и публичный Wi-Fi. Майнер приносят чужая флешка или незащищенная сеть в кафе.

• Компьютер работает ощутимо медленнее. Даже «Проводник» открывается с задержкой.
• Высокая загрузка ЦП или GPU на уровне 80-100%, хотя вы не играете в игры и не рендерите видео (смотрите в Диспетчере задач).
• Перегрев. Вентиляторы компьютера шумят постоянно, даже во время обычной работы в браузере. Корпус ноутбука становится горячим.
• Резкое падение производительности в играх. ФПС проседает, появляются лаги и фризы.
• Странное поведение. Система зависает, а программы закрываются с ошибками.

Если заметили хотя бы два из этих симптомов — обязательно проверьте, нет ли у вас майнера.

Откройте его сочетанием Ctrl + Shift + Esc. Что нужно проверять:

• Вкладка «Процессы». Отсортируйте задача по столбцу «ЦП» и GPU.
• Подозрительные названия. Злоумышленники маскируют майнеры под системные процессы. Например, svchosts.exe вместо обычного svchost.exe. Или Crome.exe вместо Chrome.exe. Ищите малейшие отличия.
• Высокая нагрузка от неизвестного процесса. Если видите процесс с именем вроде update.exe, sysmain.exe или просто набор цифр, который грузит систему — это повод насторожиться.

Кликните правой кнопкой по подозрительному процессу и выберите «Открыть расположение файла». Если файл лежит в папках Temp, AppData или Users\Public — перед вами почти наверняка вирус.

Современные майнеры умеют отключаться, когда вы их ищете.

Многие из них прекращают работать, как только вы запускаете taskmgr.exe. Вот что нужно делать в таком случае.

1. Запустите Диспетчер задач.
2. Оставьте его открытым на 5-10 минут и просто наблюдайте.
3. Если нагрузка на ЦП/GPU резко падает, а потом, когда вы сворачиваете Диспетчер, снова растет — 100% идет работа скрытого майнера.

Майнер должен запускаться каждый раз при включении ПК. Поэтому он прописывает себя в автозагрузку.

1. Нажмите Win + R, введите msconfig и перейдите на вкладку «Автозагрузка». Откройте «Диспетчер задач».
2. Внимательно изучите список. Отключите все, что вызывает сомнение (особенно с нечитаемыми названиями или от неизвестных издателей).
3. Для продвинутого поиска используйте бесплатную утилиту Autoruns от Microsoft. Она показывает абсолютно все точки автозагрузки в системе — даже те, которые скрыты от глаз обычного пользователя. Ищите записи, ссылающиеся на .exe файлы из папок Temp или AppData.

Майнер не может работать без интернета: ему нужно отправлять добытые монеты на кошелек злоумышленника.

1. Откройте «Монитор ресурсов» (нажмите Win + R, введите resmon).
2. Перейдите на вкладку «Сеть».
3. Ищите процессы, которые активно отправляют или получают данные, особенно на неизвестные IP-адреса.
4. Wireshark — сервис, проводящий профессиональную аналитику трафика. Если есть признаки заражения, но вы ничего не находите, запустите Wireshark на несколько минут. Программа покажет все соединения. Ищите обращения к портам, связанным с майнинг-пулами (например, порты 3333, 4444, 5555, 7777).

1. Malwarebytes Anti-Malware. Бесплатная версия отлично находит и удаляет даже самые хитрые майнеры (Trojan.CoinMiner).
2. Dr.Web CureIt!. Лечащая утилита, которую не нужно устанавливать. Обнаруживает вредоносные программы, маскирующиеся под системные.
3. Kaspersky Virus Removal Tool (KVRT). Бесплатный сканер от «Лаборатории Касперского». Очень эффективен против скрытых майнеров.
4. AdwCleaner. Специализируется на Adware, также чистит криптоджекеры и нежелательные программы.
5. MinerSearch (Open Source). Утилита с GitHub, созданная специально для поиска и удаления майнеров. Не требует установки.

1. Отключитесь от интернета. Это помешает активному майнеру спрятаться при сканировании.
2. Загрузите одну из утилит на чистую флешку с другого, заведомо чистого компьютера.
3. Запустите сканирование с правами Администратора.
4. Выберите режим «Полное сканирование» или «Глубокая проверка».
5. Дождитесь окончания и согласитесь удалять все найденные угрозы.
6. Повторите процесс с другой утилитой (например, сначала Dr.Web, потом Malwarebytes). Два сканера лучше, чем один.
7. Перезагрузите ПК и проверьте, ушла ли нагрузка.

Если антивирус не помог или вы просто хотите контролировать процесс сами, можно удалить майнер вручную.

1. Откройте «Проводник» и в адресной строке введите %TEMP%. Это папка с временными файлами. Удалите все, что можно (некоторые файлы будут заняты — пропускайте их).
2. Перейдите в папки C:\Users\Ваше_Имя\AppData\Local, C:\Users\Ваше_Имя\AppData\Roaming.
3. Отсортируйте файлы по дате изменения. Посмотрите, какие папки и файлы создавались во время, когда вы заметили первые признаки заражения.
4. Ищите подозрительные .exe файлы, скрипты .vbs, .ps1 (PowerShell). Особенно обратите внимания на те, которые называются системными (svchost.exe), но лежат не в C:\Windows\System32.
5. Запомните названия. Затем откройте поиск по всему компьютеру (Win + S) и найдите все упоминания этого файла. Удалите их.

Майнер мог прописать команду на свой запуск в реестре.

1. Нажмите Win + R, введите regedit, нажмите Enter.
2. Нажмите Ctrl + F для поиск.
3. Введите название того подозрительного файла, который вы нашли ранее.
4. Нажимайте «Найти далее» и удаляйте все ключи, где встречается это имя.
5. Будьте осторожны! Не удаляйте системные ключи. Избавляйтесь только от тех, которые ведут на файлы вируса.
6. Перезагрузите компьютер.

Если вы нашли файл-майнер, но не уверены, что удалили все, или боитесь, что он скачается снова — заблокируйте ему выход в сеть.

1. Откройте «Брандмауэр Защитника Windows» (введите в поиск).
2. Нажмите «Дополнительные параметры».
3. Выберите «Правила для исходящих подключений» → «Создать правило».
4. Тип: «Для программы» → укажите путь к файлу майнера.
5. Действие: «Блокировать подключение».
6. Назовите правило и сохраните. Без выхода в интернет майнер станет бесполезен.

1. Установите все обновления Windows. Многие майнеры используют старые уязвимости.
2. Не отключайте UAC (Контроль учетных записей). Он будет предупреждать вас, когда какая-то программа пытается внести изменения в систему.
3. Включите Защитник Windows (если у вас нет другого антивируса) и регулярно обновляйте его базы.
4. Для продвинутых: отключите выполнение скриптов PowerShell (если вы их не используете) через gpedit.msc.

Золотое правило безопасности: бесплатный сыр бывает только в мышеловке.

• Не скачивайте пиратские программы с торрентов и сомнительных сайтов.
• Не используйте «кряки», кейгены и активаторы. В 90% случаев они содержат трояны или майнеры.
• Не верьте всплывающим окнам с сообщениями «Ваш Flash Player устарел» или «Вы выиграли iPhone». Это фишинг.
• Проверяйте расширения файлов. Бесплатный «фильм.exe» размером 2 МБ — это не фильм.

Если майнер возвращается после перезагрузки, видимо, в системе остался вредитель (в автозагрузке, реестре или планировщике). Повторите шаги по очистке автозагрузки и проверьте планировщик задач. Если не помогает — используйте загрузку с Live-USB (например, Kaspersky Rescue Disk) и проверьте систему.