Как я поймал и обнаружил скрытый майнер
Всем привет. Вот и я решил зарегаться дабы поведать Вам одну историю которая произошла со мной на днях. Давеча сидел я вечером в одной своей любимой игре, играл и тут заметил, что игра довольно сильно местами лагает. Да ладно, видно опять не прогрузились текстуры полностью подумал я. Доиграл и уже было собирался спать, вышел из игры и через 5 минут заметил, что куллер на процессоре не сбавляет обороты. Странно, комп в простое, никаких прог использующих проц у меня нет. Как и любой другой пользователь открыл я диспетчер задач и увидел лишь нагрузку в пару процентов, но мой внутренний голос говорил мне, что-то здесь не то. Открываю аиду и вижу нагрузку на два ядра в 100%, открываю диспетчер задач, нагрузки нет, а в аиде она падает до нуля. Тут я понимаю, что словил скрытый майнер. Откуда я это понял? Когда-то интересовался этой темой, конечно не обошлось без разных форумов где видел продаванов предлагающих свои приватные сборки среди функций которых были и такие как скрытие от диспетчера задач, восстановления майнера после удаления. То есть при запуске диспетчера задач процесс майнера закрывался, а пользователь увидев, что нет никакой нагрузки, закрывал диспетчер и даже не подозревал, что после этого майнер снова начинал свою работу. И так нужно было остановить майнер и временно локализировать его пока я не вывел заразу с компа. А для этого его надо найти. Обычный диспетчер не помогает увидеть процесс майнера, процесс хакер тоже поскольку это диспетчер номер один после стандартного. Обычно создатель майнера задает ему завершение работы только при запуске стандартного диспетчера и парочки сторонних популярных. Я использую еще один диспетчер, System Explorer, отличная шутка. Запустив его я сразу глянул в аиду, нагрузка не упала, значит этот диспетчер майнер не палит. Просмотрев процессы я увидел, что комп мой грузит процесс helper.exe, бегло посмотрев в инете, что это файл винды на запуск доверенных программ, я открыл подпроцессы этого процесса и обнаружил еще один с абракадаброй в названии и расширением .tmp, то есть временный файл, немного удивил тот факт, что именно он грузил проц когда я открыл всю ветку. После его убийства я не удивился, что создался и запустился другой tmp-шник и тут же дал нагрузку на проц. Открыв папку с файлом helper я увидел пустоту, быстро сообразив, что раз скрытые папки и файлы включены, а файла я не вижу, значит у него атрибут системного. Быстренько создав батник и прописав в нем attrib -s -h до пути файла я его наконец увидел, затем убил процесс и тут же удалил, куллер потихоньку начал снижать обороты, нагрузка упала, далее пришлось возиться со скриптами в AVZ и на всякий случай просканить комп одноразовым сканировщиком. Удаляя этот файл я мельком увидел, что дата его изменения две недели назад, а винда стоит давно, вероятно он был подставлен вместо оригинально хелпера винды или просто так назывался дабы не вызвать подозрений. Надеюсь я снес все, но с тех пор веду круглосуточный мониторинг и все тихо. Кто-то скажет «надо вовремя обновлять базы данных антивируса», но не забывайте, что многие антивирусы не распознают простенький майнер как вирус, так как он не вредит компьютеру, а лишь заимствует его ресурсы для своих нужд. А если это еще и грамотно сделанный майнер и хорошо закриптованный, то антивирусы не спалят его вообще в ближайшие 2-3 недели начиная с момента сборки. Видеокарту майнер не задел, видно майнил только на проце. На этом все, берегите свое железо от недобросовестных майнеров.
Вирус майнер загружает процессор. При открытии диспетчера задач нагрузка на процессор резко снижается до нормы.
Здравствуйте. Попался вирус, который без нагрузок, находясь на рабочем столе загружает процессор, охлаждение процессора разрывается воет сильно.
Раньше я как-то не замечал этого, проблем не доставляло. Сегодня чисто случайно обнаружил для себя, что ПК в абсолютном спокойствии, находясь на рабочем столе, программы, браузеры не открывались и сильный рёв кулера.
Начал выяснять, так же на форумах вычитал что есть люди, которые сталкивались с подобным. Соответственно им специалисты из Dr.Web подсказали что это вирус и так далее и тому подобное. Они там предоставляли какие-то скрипты, что в общем -то как то это можно излечить, но честно говоря я не понял.
Ещё на YouTube сказали что, при отключении сети интернет от ПК, данный вирус перестаёт работать, другими словами работает только когда есть сеть!
Отключил сеть и действительно без неё кулер в простое ведёт себя спокойно, ждал на протяжении 30 минут так и не загудел ни разу.
Смотрел урок на YouTube, там человек в диспетчере задач находит корневую папку процесса этого и в итоге как-то его удаляет. А как быть если «процесс-вирус-майнер» при открытии диспетчера задач ПРОПАДАЕТ из процессов? 1 секунду он там есть его видно когда открыть диспетчер и через 1 секунду его нет. Как-то можно отследить?
Подскажите пожалуйста, что главное сейчас сделать?
P.s. антивируса у меня нет. Периодически проверяю ПК с помощью Dr.Web cureit. Но, люди на форумах пишут что в случае с этим вирусом-майнером проверка антивирусом может не помочь, так как он умело замаскирован и при открытии диспетчера задач пропадает из процессов.
Может кто-то сталкивался с подобным, хотелось бы выслушать Вашу точку зрения.
Заранее, благодарю Всех за помощь.
Дополнен 2 года назад
Совсем забыл главное написать сам процесс attrib.exe. Повторюсь, при открытии диспетчера задач шум резко стихает и процесс сам пропадает.
Как найти майнер если при включении диспетчера задач он пропадает
Сообщения: 8
Благодарности: 1
Доброго времени суток, форумчане. Прочитал уже не одну такую тему, пробовал самостоятельно лечиться, не получается. Проверял доктор вебом и еще парой утилит. С железом все в порядке, ноутбук разобрал и аккуратно почистил, драйвера стоят все последние, пробовал загружаться в безопасном режиме — нагрузка на ЦП сохранялась, значит, как я понимаю, дело не в драйверах вообще. Сам диспетчер задач или какие-либо сторонние программы не показывают ни одного подозрительного процесса или службы. Ничего стороннего не качал и не устанавливал. Регулярно проверяю на наличие вирусняка NOD32, использую ccleaner и malwarebytes, ничего не помогает. Я прочитал не одну страничку в интернете, некоторые пишут, что похоже на майнер, тк при любой моей активности (диспетчер задач например) — он сразу прекращает свою работу. Но стоит мне через минуту закрыть и открыть диспетчер задач, вновь цп загружен. Работе пока не сильно мешает, но беспокойство вызывает. Прилагаю логи, очень прошу помочь. Не хочется переустанавливать винду, да и не особо верится, что это поможет. Очень жду ответа!
Сообщения: 763
Благодарности: 200
«Пофиксите» в HijackThis (некоторые строки могут отсутствовать):
O2 - HKLM\..\BHO: (no name) - - (no file) O2 - HKLM\..\BHO: Skype for Business Click to Call BHO - - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: SkyDrivePro1 (ErrorConflict) - - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: SkyDrivePro2 (SyncInProgress) - - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: SkyDrivePro3 (InSync) - - (no file) O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - - (no file)
Выполните загрузку в безопасном режиме. Если проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск — Поиск / Выполнить — msconfig — ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.
Далее действуйте методом «половинного деления». Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах — отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.
Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.
Подробнее об этой диагностике читайте здесь.
Скачайте Malwarebytes’ Anti-Malware. Установите.
На вкладке «Параметры» — «Личный кабинет» («Settings» — «My Account«) нажмите кнопку «Деактивировать ознакомительную Premium-версию».
На вкладке «Проверка» — «Полная проверка» нажмите кнопку «Начать проверку». Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте.
Нажмите кнопку «Сохранить результат — Текстовый файл (*.txt)». Имя сохраняемому файлу дайте любое, например, «scan».
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
что то грузит процессор
Здравствуйте! столкнулся с проблемой , процессор загружен вентилятор постоянно работает , как только открываю диспетчер задач вижу 80%, и сразу откатывает на 0 % только при открытом диспетчере задач , закрываю диспетчер опять так же 80 — 90 что успеваю увидеть , загружается процессор все по новой . Подскажите , что может быть
Пока диспетчер открыт, процессор не загружен
На сайте c 17.09.2012
Сообщений: 359
На сайте c 03.03.2021
Сообщений: 453
В автозагрузке посмотрите в диспетчере может что есть лишнее
Во прикол посмотрел у себя загрузку у меня сейчас 1 ядро грузит хотя ничего не происходит
Вот у меня какая штука грузит
На сайте c 22.09.2014
Сообщений: 48
О, у меня такое на старом компе ещё в студенчестве было, гудел аж – тогда о майнерах только-только говорить начали, разбираться не стал – снёс Винду с перепугу и тишина, все вентиляторы затихли. А главное, при открытии диспетчера так же себя комп вёл
На сайте c 11.07.2009
Сообщений: 106
при отключении интернета , грузить перестает
На сайте c 24.06.2014
Сообщений: 3984
Украина, Одесса
Ну а как майнер вам будет майнить без интернета. Включайте обратно и майните
Вообще на процах майняться дешевые монеты. Так что разработчики вирусов берут тут массой.
Он где угодно мог быть. В Crack-е к программе. В Репаке игры. В плагине к 3Ds Max-у.
Мне даже попадались вшитые вирусы в сабтитры к фильмам скачанным с торрентов
Года до 2012 часто вирусы попадались в JPEG картинках.
Сейчас конечно антивирусы моментально их уничтожают.
Но все же, забавно что зловредный код может быть зашит даже в картинке.
На сайте c 11.07.2009
Сообщений: 106
Цитата Earanak:
майнер вам будет майнить без интернета. Включайте обратно и
Ну понятно , подскажите плиз, как чем найти удалить .
На сайте c 24.06.2014
Сообщений: 3984
Украина, Одесса
Без понятия, никогда не сталкивался с майнерами. Переустановка винды и всего рабочего софта. Всех плагинов. Восстановление всех скриптов и хоткеев, пресетов. Настройка всех сетевых служб. Бэкап сохранений с игр. И тд и тп — все равно занимает не больше одного рабочего дня. Так что я бы не парился с поиском решения проблемы. Взял бы просто сохранил все нужное на отдельный носитель. А с винчестера все снес бы под чистую. Т.е при установке винды я бы снес даже MBR/GPT разметку, и пересоздал бы разделы. Ну а восстанавливал бы данные с носителя уже когда стояла бы на компе чистая система, обновленная с антивирусом адекватным. Ну а весь ломанный софт качал бы с проверенных источников. Типа Персии там. Условно говоря, где вирусы в раздачах не живут долго.
Если бы у меня был какой нить вирус, я бы так сделал на всех домашних компах и телефонах и ноутбуках и у соседей и возможно во дворе даже Не, ну серьезно. Ну нафиг. Майнер если смог установиться в систему, у него полный доступ скорее всего есть. Значит все данные кредиток, инфа с браузеров, пароли. Кейлоггер. И тд и тп. Все под потенциальной угрозой. Не факт. Но все же.
Предположим вы сможете устранить сам факт майнинга и нагрузки. Кто вам гарантирует что остальные хвостики от вируса и последствия его вы удалили ? Ну вот. Я об этом и говорю. Антивирус может удалить симптом, но саму суть нахождения вируса в системе может и не исправить. Зачем рисковать.
OFFTOP — Меня за 20+ лет пользования компьютером с интернетом ни разу не взламывали. Не воровали мои миллионные накопления. Как помню никогда не ловил вирусов. И я даже не менял пароли уже по 10+ лет, хотя они в хэш-суммах уже скомпрометированы, но если бы со мной чет такое случилось — я бы на следующий день уже придумывал бы пароли, делал бы новые эмейлы, менял бы пин-коды и CVV2 коды на картах, покупал бы новые симки и прочая паранойя