Ручное обнаружение майнера силами Process Explorer Данил Пистолетов, 22 января 202417 мая 2024 Статья про ручное обнаружение майнера силами Process Explorer, которая может быть полезна тем, кто не пользуется антивирусом (либо он бесполезен против майнера), но при этом хочет избавиться от вредоносного нахлебника. Около полугода назад я случайно скачал себе майнер, который, честно говоря, даже не знаю куда был вшит, поскольку программ я загрузил достаточно много за один момент, а сам майнер был найден отдельно от какой-либо программы. Антивирусом я не пользуюсь, поскольку не считаю нужным, однако не могу назвать их бесполезными. Они бывают полезны в тех случаях, когда, например, мы имеем дело с компьютерным вирусом, который начинает очень быстро плодить всякие файлы и не только. Один раз со мной такое случилось, когда я ещё использовал антивирус на постоянной основе, и он помог предотвратить размножение этих файлов. Сейчас же я храню антивирус DrWeb, на тот случай, если понадобится автоматизированное решение по избавлению от вирусов. В любом случае, будет полезным знать как выявить майнер или иную вредоносную программу, нагружающую центральный процессор. Хотя, если быть честным, то проблема может быть вызвана не только вредительскими программами. Возможны случаи, когда по какой-то причине системная программа нагружает процессор, без видимых на то причин, в таком случае тоже не будет лишним выявить какая именно программа создаёт нагрузку, чтобы решить эту проблему. Самым простым способом является использование Диспетчера задач, который можно открыть, нажав правой кнопкой мыши на панель задач. Как правило, для работы таких вредоносных программ может потребоваться интернет, потому открывать Диспетчер задач целесообразно с включенным интернетом, чтобы вирус не прекратил активность. Для простых вирусов этого вполне будет достаточно: выявить его с помощью Диспетчера задач, а потом благополучно удалить. Однако, мне попался достаточно хорошо спрятанный майнер, в Диспетчере задач он отображался как программа, запущенная службой, и местоположение файла посмотреть было нельзя. Диспетчер задач не обладает достаточным множеством функций, потому было решено воспользоваться более серьёзной заменой — программой Process Explorer. Очень удобная программа, которая отображает процессы, их нагрузку, описание, название компании-производителя и не только. Может посмотреть информацию даже о себе. Мной использовалась версия 17.4.0.0, судя по информации от самого Process Explorer, программа была собрана в апреле 2023 года. Выявить причину вызова майнера удалось, но возникла другая проблема — руткит. Майнер очень хорошо скрывался, а также плодил дополнительные файлы в случае обнаружения. При отключении интернета его активность исчезала, потому было решено сделать самое очевидное — просмотреть исходящие подключения вируса. Process Explorer может отображать и адреса подключения, потому всё обошлось без проблем. После этого мною были найдены все файлы с содержанием домена либо IP-адреса, к которому совершал запросы майнер, после чего они все были удалены. Таким образом, майнер был полностью устранён. Статьи