О борьбе с скрытыми майнерами (На личном опыте)

[Spec122]

Вобщем давно хотел накатать статейку ,но не доходили руки.

Спойлер: Открой ,если ты топ хуцкер

Гайд предназначен для новичков ,я не гарантирую ,что прошаренным юзерам он будет полезен

Спойлер: Про скрытый майнер ,для тех кто не в теме

Скрытый майнер использует ресурсы вашего компьютера (Как правило CPU и/или GPU) для выполнения операций ,в результате владелец такого майнера получает прибыль

Что же делать если у вас на компьютере уже есть майнер или подозрения на него ?


1. Провести диагностику - отдать свой кампухтер за 100500 деревянных кампухтерному мастеру

• Откройте диспетчер задач (сочетание клавиш ctrl alt delete) и посмотрите на нагрузку вашего процессора (Стоит понимать ,что у вас старенький пенек ,то нагрузка может идти от самой системы/Засраного компа ,тут уже пользуйтесь гуглом).
• В случае если нагрузка близится к 100% (В некоторых случаях майнер нагружает лишь 10-50-70%,про динамическую нагрузку расскажу позже) то переходите к пункту 2.
• Если вы не увидели ничего необычного переходите к следующей проверке / или увидели ,что как только вы открываете диспетчер нагрузка падает ,а в истории активности идет полоса большой нагрузки ,то это явный признак майнера (Бывают исключения ,не бейтесь в панике ,перейдите к следующей проверке)
• Скачайте Aida64 или попробуйте другие программы для мониторинга нагрузки .

Спойлер: Примечание

Я не стал описывать в статье ,но помимо проверки нагрузки на CPU ,стоит так же смотреть и GPU ,для этого можно использовать например msi afterburner Симптомы заражения те же

(Буду дополнять уже после написания статьи ,не все вспомнил)

Спойлер: Некоторые пояснения

• Вы могли видеть падение нагрузки при открытии диспетчера задач ,все дело в том что современные майнеры прекращают свою работу при открытии диспетчера задач ,одни сбрасывают нагрузку до 0,другие же завершают свой процесс.
• Вы можете видеть нагрузку в 100% ,но при игре не чувствуете значительного падения производительности - Тут дело в "динамической нагрузке" ,майнер опускает нагрузку относительно загруженности компа ,в редких случаях при старте определенных игр .
• Выключаю интернет и падает нагрузка - на самом деле тут так же велика вероятность ,что это майнер ,ведь он работает лишь при подключении к сети,однако есть исключения ,проверьте ,что никакая программа не качает обновление.
• Почему стоит использовать малоизвестные программы для мониторинга нагрузки - Так же как и с диспетчером при открытии некоторых программ майнер завершает работу

2. Обнаружить и уничтожить .

• Стоит начать с банальной проверкой антивирусом ,хотя этот метод часто не дает результата из за криптования билда ,однако если майнер не продвинутый и обновления билда нету ,а он у вас на компе достаточно долго ,скорее всего антивирус его обнаружит . Для обнаружения майнера могу посоветовать сканер антивируса
  Пожалуйста, авторизуйтесь для просмотра ссылки.
  и
  Пожалуйста, авторизуйтесь для просмотра ссылки.
• Если ничего выше не помогло ,пробуем делать все ручками (Сначала в обычном режиме ,затем если не получилось ,загружаем винду в безопасном) - Первым делом жмем win + r и вписываем msconfig ,чекаем автозагрузку на подозрительные файлы (Можно отключить все и проверить)
• Далее стоит проверить планировщик задач ,продвинутые майнеры прячутся там . Жмем win r и вписываем taskschd.msc . Далее Библиотека планировщика и опять же смотрим на подозрительные файлы (Здесь можно целую статью по обнаружению написать ,но надеюсь что вы справитесь) Все подозрительное отключаем .
• Затем стоит проверить %appdata% (Вставляем в поиск винды) - Смотрим на подозрительные папки ,гуглим файлы в них и удаляем (Примеры папок nicehash,miner,minergate,pool и.т.д) .Только не удалите ничего лишнего . Если нашли майнер и уверены в этом ,но он не может быть удален из за открытого процесса ,то делаем следующее - Открываем диспетчер задач (В случае если при поиске он завершал свою работу) и пробуем удалить сначала вспомогательные файлы (dll,ini,txt) ,затем сам exe.
• Качаем process hacker или ищем менее популярные аналоги и пробуем отследить процесс затем открыть его местоположение и удалить.
• Некоторые майнеры прячутся на диске C:\ или в трее ,не забывайте проверять там !

3. Если ничего не помогло .

• Попросите более опытного знакомого
• Откатите windows
• Переустановите в конце концов ! Если у вас куча хлама ,это хороший повод освежить ваш кампухтер !

4.Защита от майнера.
Правила защиты от майнера ,не отличаются от других вирусов.

• Используйте антивирус ! Каким бы вы умным не были ,антивирус не помешает (Исключение когда слабый компьютер или он вобще изолирован от внешних угроз) Я снова посоветую использовать eset nod 32 (не сочтите за рекламу) ,по моему опыту ,он лидер в обнаружении ,даже после использования криптора ,не проходит и суток как билд детектится .
• Используйте мозг ,это интернет черт побери !
• Если вы любите качать что то с левых раздач ,используйте sandboxie или виртуализацию (Vmware,virtualbox и.т.д

Спойлер: Что бы не было холиваров про антивирусы

Помимо скачивания левых файлов с инета ,есть атака через уязвимости ,отчасти антивирус спасает от этих проблем

Я хотел бы и дальше писать такие статьи если они покажутся вам интересными или полезными .

 

[P45H3]

1) Майнер может вешать хуки на Process32First/Next
2) Не обязательно нагрузка на CPU
3) Анти-вирус 1 хер не поставлю

 

[Spec122]

1) Майнер может вешать хуки на Process32First/Next
2) Не обязательно нагрузка на CPU
3) Анти-вирус 1 хер не поставлю

1)Я забыл упомянуть ,что я не кодер нифига и все что в статье рассмотрено ,это на личном опыте того ,что я видел
2) Ну я упомянул ,что и на гпу майнит
Ну ,а про антивирус твое дело

 

[P45H3]

Ну я упомянул ,что и на гпу майнит

Не заметил.

 

[xarol]

Если майнер годичной давности твоими способами удалить еще реально, то нынешние билды гораздо более устойчивые.
И по пунктам.
1)При открытии диспетчера, например, у меня, сначала всегда 100% потом спадает, однако майнера у меня нет(запускал у себя майнер на минимальной нагрузке и комп шумел очень сильно, при запуске диспетчера комп не шумит, но нагрузка на проц 100%, связано с работой самого диспетчера.)
2) 10% нагрузить нельзя, так как 10-ядерных и 20-ядерных процев нет, в основном нагрузка 50%(есть возможность поставить 25, 50, 75 или 100 на выбор)
3) Process Hacker тебе не поможет в 90% случаев.
4) Eset Nod поможет обнаружить(не всегда), удалить - далеко не всегда.
5) Если хотите удалить - сразу просканьте антивирусами или сканерами - не помогло - сносите винду, ибо помощи ни у кого больше просить даже не нужно(не смогут помочь).
6) Если хотите обезопасить себя - заливайте на virustotal КАЖДЫЙ файл, который запускаете. Если палит НОД - скорее всего, майнер. Если палят несногие ноунеймы(Обычно манеры ХОРОШО детектят twister/ avira/ nod/ kasper/ avast - остальные - плохо) - не обращайте внимания. Но если НОД ругается - удаляйте, пока случайно не запустили.
Вот небольшие правила и дополнения, надеюсь, помог вам.

 

[Ronix]

 

[Spec122]

Если майнер годичной давности твоими способами удалить еще реально, то нынешние билды гораздо более устойчивые.
И по пунктам.
1)При открытии диспетчера, например, у меня, сначала всегда 100% потом спадает, однако майнера у меня нет(запускал у себя майнер на минимальной нагрузке и комп шумел очень сильно, при запуске диспетчера комп не шумит, но нагрузка на проц 100%, связано с работой самого диспетчера.)
2) 10% нагрузить нельзя, так как 10-ядерных и 20-ядерных процев нет, в основном нагрузка 50%(есть возможность поставить 25, 50, 75 или 100 на выбор)
3) Process Hacker тебе не поможет в 90% случаев.
4) Eset Nod поможет обнаружить(не всегда), удалить - далеко не всегда.
5) Если хотите удалить - сразу просканьте антивирусами или сканерами - не помогло - сносите винду, ибо помощи ни у кого больше просить даже не нужно(не смогут помочь).
6) Если хотите обезопасить себя - заливайте на virustotal КАЖДЫЙ файл, который запускаете. Если палит НОД - скорее всего, майнер. Если палят несногие ноунеймы(Обычно манеры ХОРОШО детектят twister/ avira/ nod/ kasper/ avast - остальные - плохо) - не обращайте внимания. Но если НОД ругается - удаляйте, пока случайно не запустили.
Вот небольшие правила и дополнения, надеюсь, помог вам.

Ну во первых мне это пишет человек который обещает по 20к рублей за 5к инсталлов.
1)Это нагрузка при открытии ,надо чекать историю загрузки или постоянную
2)10 было для примера
3) Процес хакер как аналог ,он слишком популярен и его проблемно юзать
4)У меня довольно часто удалял ,мой любимый ав ,может кому поможет
5) Ну тут согласен полностью
6) Не согласен только про авиру и каспера ,в целом так и есть )

 

[Patriarx]

Пожалуй это лучший гайд который я когда-либо читал.
Кому же в этом разбираться лучше , если не сосиске122 продавцу скрытого майнера?
По данному гайду вы в 90% случаев сможете избавить свой компьютер от вредоносной дряни.
Хотелось бы выразить огромную благодарность, что помог мне в свое время избавиться от майнера и подчистил пк как настоящий сисадмин ака хацкер.

Спойлер

ОСТАВИЛ ТИМКУ ВКЛЮЧЕННОЙ И ПОШЕЛ ПИТЬ ЧАЙ, А ЭТОТ ПИДОР УСПЕЛ ПОДКИНУТЬ МНЕ РАТНИК

 

[xarol]

Ну во первых мне это пишет человек который обещает по 20к рублей за 5к инсталлов.
1)Это нагрузка при открытии ,надо чекать историю загрузки или постоянную
2)10 было для примера
3) Процес хакер как аналог ,он слишком популярен и его проблемно юзать
4)У меня довольно часто удалял ,мой любимый ав ,может кому поможет
5) Ну тут согласен полностью
6) Не согласен только про авиру и каспера ,в целом так и есть )

Что такого в том, что я покупаю инсталлы? 20к за 5к инсталлов
Почти все майнеры закрываются при открытии диспетчера задач.
Я говорил про верхушку рынка, про самые топовые майнры и как с ними бороться(никак, кроме как переустановки винды).