Как удалить скрытый майнер?

На этой неделе заметил, что видеокарта даже при отсутствии запущенных программ и игр начала жестко шуметь (а такое бывает только в тяжелых играх), зашел в Process Hacker, и увидел там процесс cmd.exe, а команда была на запуск майнера ethermine.org (на скрине видно)
Нажимаю Terminate, и через 3 минуты снова появляется. Антивирус не находит ничего при полной проверке.
Как удалить его?62b57ad763d99649259304.png
  • Вопрос задан
  • 1125 просмотров
Решения вопроса 1
Adler_lug
@Adler_lug
С большой вероятность это прописано просто в автозагрузке. Для начала стоит попробовать выключить и если после перезагрузки опять не появится - забить. Если появится, то искать то, что его туда снова добавит.
Ответ написан
Пригласить эксперта
Ответы на вопрос 6
@pfg21
ex-турист
добавлю лишь ссылку на утилиту autoruns от Марка Руссиновича. удобное средство смотреть что в винде запускается по умолчанию.
Ответ написан
Комментировать
ProgrammerForever
@ProgrammerForever
Учитель, автоэлектрик, программист, музыкант
  • Загрузиться с LiveCD и сделать полную проверку DrWeb или Kaspersky
  • Удалить вручную. Я использую для этого связку Autoruns + Anvir Task Manager
Ответ написан
Комментировать
Vindicar
@Vindicar
Проверь планировщик заданий и список служб.
Причем ищи вообще всё подозрительное - может быть, висит отдельная служба-watchdog, которая перезапускает майнер при закрытии.
Ответ написан
Комментировать
@Nordman99
1.Запуск планировщика задач от имени Администратора - просмотр всех задач в нём, в котором будет запуск этой строки - как на скрине - "cmd --cinit-find-e --pool=stratum:// ........"
Эту задачу удалить!
2. Открыть regedit:
Правка - Найти - оставляем только галочку "Имена разделов" в строке поиска пишем Run - ищем
В каждом найденом разделе ищешь строку со своего скрина "cmd --cinit-find-e --pool=stratum:// ........"
Если есть - удаляешь!
3. Кнопка Пуск - ищешь пункт "Автозагрузка" или "Autostart" открываешь и смотришь тоже самое там, если есть удаляешь!
4. Финальный вариант - скачиваешь пакет утилит Sysinternals, запускаешь из них Autoruns от имени админа
Ищешь там свою строчку - если найдено - удаляешь!
Все, потом перзагрузка и смотришь на результат

P.S. т.к. майнер перезапускается каждые 3 минуты то велика вероятность что он запускается VBS или JS, так что непосредственно твоей строчки как на скрине "cmd --cinit-find-e --pool=stratum:// ........" может не быть во всех вышеперечисленных пунктах, так что в тех пунктах просмотри еще и запуск всех VBS и JS скриптов, если есть смотри по какому пути он расположен - открой его по тому пути чем угодно, любым просмотрщиком и смотри что в нём, если там есть запуск твоей строки как на скрине либо запуск bat файла - а уже в нём строка как на скрине то и удаляешь все - и bat и VBS или JS и саму всю задачу
Ответ написан
Комментировать
Vvvyg
@Vvvyg
Был админом, сейчас в ТП
Не видя полной картины автозапуска, нельзя дать однозначный ответ. Видя полную картину, можно не заметить важного.
Помощь в удалении вирусов
Регистрируйтесь, делайте тему с логами.
Ответ написан
Комментировать
tramp55
@tramp55
Землю попашет, попишет стихи....
Два раза ловил майнера на свой ноутбук. Первый раз даже не понял в чем дело. Ноутбук вдруг стал очень сильно греться, особенно процессор. Перегрузился, в чистой системе, ничего не запущено, процессор 97 градусов. Откуда может быть такой угол у процессора, чем он факинг занят, если еще ничего не запущено кроме ОС? Сначала, почистил от пыли и заменил термопасту (дурная голова рукам покоя не дает), пыли было совсем мало, собрал, все по-прежнему. Так же, как автор, отловил в процессах cmd.exe, удалил. Еще стоит добавить, что в моем случае, в системном Диспетчер задач, этого файла не было, там вообще загрузка процессора была менее 10%, а в Process Lasso этот файл сразу обозначился самым первым по загрузке процессора. Перегрузился, то же самое и опять в процессах cmd.exe. Тогда перегрузился в LiveCD с юсбишного внешнего диска и уже топорным способом начал искать все самые новые файлы на диске С. В поиске указал файлы, которые появились в течение 2-х недель, на всякий случай, с запасом. Отловил в папке APP какую-то досовскую игру Robot. Удалил, перегрузился и опять папка там же и cmd.exe в процессах. Дальше все тоже делал примитивно и топорно, как древние шумеры. Начал искать все, что связано с исполняемым файлом в папке с игрой, в реестре и в конфигах системы. Все найденное удалил, загрузился в защищенном режиме, прошелся по планировщику и по автозагрузке, там все чисто. После этого проблема ушла. Мог бы всего этого не делать, есть образ системы, разворачивается система за 5-6 минут, но, во-первых, можно опять поймать майнера, а во-вторых, было интересно отловить.
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы