Методы обнаружения и удаления
Если ваш ПК стал тормозить, то, вероятно, это вирус-майнер, который загрузил центральный процессор и видеокарту. В этом случае нужно проверить диспетчер задач и просканировать систему антивирусами на трояны. Отчасти это верный подход, но если подумать – то это крайне поверхностные меры.
ВВсе ли антивирусы эффективны?
Полноценной инструкции от специалиста, например, из Касперского, к слову сказать, не обнаружено – хотя найденные инструкции преимущественно были довольно старые и, судя по всему, созданные для древних майнеров 2010 года, сделанных на «коленке».Но для людей, которые, вероятно, имеют обо всём этом лишь слабое представление, вовсе не упоминается о подобных аспектах:
Нестандартные способы запуска;
Наличие двух процессов, которые перезапускают друг друга в случае попыток их завершить;
Перезагрузка ПК при попытке получить доступ к файлам майнера или попытке удалить их из автозагрузки;
Процессы, которые не дают нормально работать антивирусам.
ААлгоритм работы
Здесь нужен комплексный подход, и придётся немного потрудится. Алгоритм подходит не только для обнаружения и удаления скрытых майнеров, но и для любых троянских программ, в частности, шпионского ПО, которое скрытно сидит в процессах и делает своё дело.Итак, с чего начать и нужно ли? Даже если вас всё устраивает в работе машины – лучше проделайте эти нехитрые манипуляции. Поверьте – вы можете обнаружить много чего любопытного и избавить себя от проблем в будущем.
Итак, для начала берём контроль над всем, что творится на ПК, и скачиваем приложение для мониторинга всего, что есть на машине – AIDA64.
Запускаем приложение, открываем Настройки и находим пункт OSD окно – там отмечаем показатели температуры ядер процессора и видеокарты, а также уровень их загрузки и занятую оперативную память. Нажимаем применить и получаем гаджет на рабочий стол, где отображаются выбранные показатели. Выключаем всё, что только можно – если нагрузка остаётся (точные показатели сложно назвать) – есть смысл задуматься над тем, что создаёт напряг.
Продолжаем – стандартный диспетчер задач нам определённо не подходит. Скачиваем просто замечательную утилиту AnVir Task Manager. Это реально мощная вещь – с её помощью гораздо проще выявлять подозрительные процессы. Все неопределённые строки подсвечиваются красным и о каждом процессе можно получить максимальную информацию, чего нет в функционале похожих программ и тем более в стандартном диспетчере. Также софт ищет скрытые процессы.
Как уже сказано – майнер может маскироваться под любую службу или даже отключаться при открытии диспетчера. Но шанс выловить его – достаточно высок. Уберите оттуда всё лишнее – все, что можно отключить на данный момент, без ущерба для работы операционной системы. Теперь идите по всем процессам подряд и выясните, что они собой представляют. В этой утилите есть функция поиска информации о процессе в Сети, а самое главное его проверка на сайте VirusTotal. Обратите внимание, сколько он съедает памяти, насколько нагружает центральный процессор и GPU (видеокарту) и откуда он работает. Скрытые майнеры часто прописываются именно в пользовательской папке, хотя не факт, конечно. Кстати, сразу включите отображение скрытых файлов и папок и не выключайте его никогда.Часто майнеры маскируются под процессы svchost.exe, chrome.exe и steam.exe. Ну, или вообще под нечто непонятное.
Для обнаружения процессов, нагружающих именно GPU можно воспользоваться дополнительным диспетчером – ProcessExplorer. Он без предварительных настроек отображает этот показатель. Если вы что-то нашли – не спешите убивать процесс и вычищать папки, ведь, вероятно, через некоторое время исходным вирусом, который сидит где-то в другом месте всё будет восстановлено. А часто отключение одного процесса запускает аналогичный и наоборот. В общем, просто приостановите процесс, запомните его и файлы с ним связанные, а также проверьте их на VirusTotal. Если сервис маякнул об угрозах – начинаем процесс ликвидации.
Вы знаете, что и сколько занимает места на вашем жёстком диске? Особенно в разделе C? Если нет, то рекомендую утилиту FolderSizes. Это отличная вещь. Если с помощью неё вы обнаружили на диске C: папки весом в несколько гигабайт – обязательно проверьте что там лежит! Часто авторами подобных статей упоминается о папке Ethash, который некоторые скрытые майнеры используют для хранения рабочих файлов. Но таким хранилищем может оказаться любая тяжёлая папка с любым названием.Теперь, даже в случае, если до этого ничего не было найдено – приступайте к следующей фазе. Здесь вам потребуется полный комплект «боевого софта».
Для надёжности лучше проводить сканирование и удаление вероятных угроз в безопасном режиме. Часто подобные вирусы не дают себя обнаружить или удалить, но в безопасном режиме это становится возможным. Для его запуска нужно при загрузке несколько раз нажать на клавишу F8 и выбрать необходимый вариант.
В Windows 10 при перезагрузке этого сделать нельзя, поэтому открываем окно «Выполнить» (Win+R), вбиваем команду Msconfig, выбираем раздел «Конфигурация системы», где в разделе «Загрузка» выставляем необходимый режим, после чего перезагружаем машину.Если хотите «воевать по-чёрному» – создайте загрузочную флешку с антивирусом Dr. Web или Касперским и дополнительно просканируйте систему с неё.
Теперь в безопасном режиме начинаем запускать следующие антивирусные утилиты, предварительно скачанные в портативном варианте (хотя многие и так изначально сделаны в портейбле):
Web CureIt! (качаем исключительно свежую версию с оф.сайта). Если смущает необходимость отправлять сведения о своём программном обеспечении – не используйте её, впрочем, как и остальные;
Kaspersky Virus Removal Tool;
COMODO Cleaning Essentials;
Junkware Removal Tool;
AdwCleaner (на всякий случай).
Многие сборки для скрытого майнинга используют руткиты – утилиты для сокрытия следов работы определённых процессов. Поэтому дополнительно стоит использовать TDSSKiller, который призван их убить.
Если вы уже уверены, что в системе работает скрытый майнер, и данные утилиты не помогли – воспользуйтесь программой AVZ и помощью профессионалов со специализированных форумов.
Для этого открываем AVZ и производим обновление баз через одноимённый пункт. Теперь запускаем «Исследование системы» и получаем файл avz_sysinfo.htm. Далее, заливаем его куда-нибудь и идём, например, на форум Касперского. Там находим нужную тему (она там есть) и обращаемся с просьбой помочь, обязательно приложив ссылку на полученный в AVZ файл. При хорошем раскладе, получаем скрипт, который необходимо выполнить в том же AVZ через функцию «Выполнить скрипт».
Если что-то из этих инструментов по каким-либо причинам не захочет работать в безопасном режиме – можно провести процедуры поиска и очистки в обычном режиме, но предварительно запустив утилиту RKill, которая по идее должна убить процессы, мешающие работе антивирусов.
Итак, после проверки и зачистки вирусами (если было что) – проверяем, продолжают ли работать те процессы, которые мы приметили в самом начале. Стоит учитывать, что они могут появиться несколько позже. Если антивирусы не удалили заражённые файлы – нужно сделать это вручную, предварительно использовав RKill.
Если всё прошло успешно – осталось почистить реестр от следов пребывания чужаков. Вручную – долго, и не все знают, что и как искать. Поэтому можно воспользоваться одним из чистильщиков реестра, например, CCleaner или AuslogicBootSpeed.
В случае если никакие меры не помогают (даже запуск скрипта в AVZ) – придётся либо обратиться за помощью, либо переустановить систему. А лучше сделать переустановку в любом случае.
ММетоды профилактики
За время работы любой операционной системы – в неё устанавливают множество софта с последующим удалением. Программы для деинсталляции и очистки реестра, честно говоря, плохо справляются со своими задачами. В итоге реестр превращается в помойку. К тому же каждое установленное приложение, особенно, серьёзное – запускает дополнительные процессы, порой совсем не нужные юзеру и прописывает в систему различные настройки. А порой от давно удалённых программ остаются отдельные модули, которые продолжают функционировать. Всё это позволяет незаметно для пользователя внедрять в систему любые процессы и он, вероятно, в этом бардаке ничего не заметит.
Поэтому заведите привычку пользоваться преимущественно портативным софтом. Да, это не очень удобно, да, программы хуже взаимодействуют с операционной системой и между собой. Но есть масса преимуществ: вы не засоряете реестр, загрузка и выключение компа происходят быстрее, потому что в скрытом режиме не работает куча всего, о чём вы и не подозреваете, а главное, в процессах чистота и легче обнаружить что-то новое, например, новый процесс, которого раньше не было и который потребляет значительное количество ресурсов.
Вообще, будет очень хорошо, если люди начнут интересоваться, как работает их компьютерная техника и установленное на ней ПО, в частности, операционные системы. Будет прекрасно если границы познаний многих пользователей пойдут дальше торрентов, игр и порно. Стоит узнать, как устроена работа операционной системы, и какие процессы за что отвечают. Если не засорять пространство – ориентироваться будет гораздо легче.
Чтобы никакая «адтварь» и прочая нечисть не вздумала по-тихому устанавливаться – можно воспользоваться WinPatrol Monitor. Когда что-то пытается прописаться в реестр без ведома – софтинка начинает реально тявкать и выдаёт окно, где описано что и куда пытается прорваться.
