Публикация была переведена автоматически. Исходный язык: Русский
Ваш компьютер начал жутко шуметь вентиляторами в простое, но стоит вам открыть «Диспетчер задач» или «Монитор ресурсов», как он тут же замолкает? Поздравляю (на самом деле нет), скорее всего, вы подхватили «умного» скрытого майнера.
Такие вирусы запрограммированы прекращать работу, как только пользователь пытается посмотреть, что именно грузит систему. Обычными антивирусами их поймать сложно, потому что они маскируются под системные файлы (например, svchost.exe).
Но мы не будем устанавливать сомнительные программы для очистки. Мы поймаем его с помощью хитрости и встроенного инструмента Windows — PowerShell.
Мы напишем короткий скрипт (код), который будет работать в фоне и каждую секунду записывать в текстовый файл все процессы, потребляющие ресурсы процессора. Поскольку это простое текстовое окно, майнер не распознает в нём угрозу и запустится на полную мощность. А мы тем временем запишем, где прячется его файл!
Чтобы скрипт увидел скрытые вирусы, нам нужны права Администратора.
- Нажмите меню Пуск (или клавишу Win на клавиатуре).
- Начните печатать слово: PowerShell.
- В результатах поиска нажмите на Windows PowerShell правой кнопкой мыши и выберите «Запуск от имени администратора».
- Откроется синее (или черное) окно с мигающим курсором.
Скопируйте код ниже целиком. Затем просто кликните правой кнопкой мыши в окне PowerShell — код вставится автоматически. Если он не запустился сам, нажмите Enter.
PowerShell
# Ловушка для скрытого майнера. Сохраняет лог в папку "Документы"
$logPath = "$env:USERPROFILE\Documents\miner_hunter.txt"
Clear-Host
Write-Host "ОХОТА НА МАЙНЕРА ЗАПУЩЕНА!" -ForegroundColor Green
Write-Host "Лог пишется в папку 'Документы' -> файл miner_hunter.txt" -ForegroundColor Yellow
Write-Host "Закройте Диспетчер задач и просто ждите шума вентиляторов..." -ForegroundColor White
while($true) {
# Ищем процессы, которые активно используют процессор
$heavy = Get-Process | Where-Object { $_.CPU -gt 20 }
foreach ($p in $heavy) {
try {
$path = if ($p.Path) { $p.Path } else { "ПУТЬ СКРЫТ" }
$message = "$(Get-Date -Format 'HH:mm:ss') | ИМЯ: $($p.Name) | CPU: $([math]::Round($p.CPU)) | ГДЕ ЛЕЖИТ: $path"
# Вывод на экран и тихая запись в файл
Write-Host $message -ForegroundColor Cyan
Add-Content -Path $logPath -Value $message
} catch {}
}
Start-Sleep -Seconds 3
}
Как только вы увидели зеленую надпись «ОХОТА НА МАЙНЕРА ЗАПУЩЕНА!»:
- Обязательно закройте Диспетчер задач и Монитор ресурсов, если они открыты. Майнер должен думать, что за ним не следят.
- Оставьте компьютер в покое (не двигайте мышкой) на 5–10 минут.
- Дождитесь, пока вентиляторы снова начнут сильно шуметь (компьютер начнет греться).
- Дайте ему поработать так 30-40 секунд, чтобы скрипт успел записать злодея в файл.
Скрипт можно закрыть (просто нажмите крестик). Теперь идем смотреть улов!
- Откройте на компьютере стандартную папку «Документы» (Documents).
- Найдите там текстовый файл miner_hunter.txt и откройте его.
- Вы увидите много строк. Не пугайтесь больших цифр в колонке CPU — скрипт показывает общее время работы процесса в секундах, а не проценты.
Как найти вирус среди обычных программ: Нажмите Ctrl+F (поиск) и введите svchost (самая частая маскировка). Смотрите на то, что написано после слов «ГДЕ ЛЕЖИТ:»:
🟢 Нормальный процесс: ... | ГДЕ ЛЕЖИТ: C:\WINDOWS\system32\svchost.exe (Системная папка, всё хорошо, это просто фоновая работа Windows).
🔴 ВРЕДОНОСНЫЙ МАЙНЕР: ... | ГДЕ ЛЕЖИТ: C:\Users\Имя\AppData\Local\Temp\svchost.exe (В папках AppData, Temp, Roaming, или папках с играми системных файлов быть не должно! Это вирус).
Если вы нашли странный процесс, который лежит не в Program Files и не в Windows\System32:
- Скопируйте путь к этому файлу.
- Перезагрузите компьютер в Безопасном режиме (чтобы майнер не смог запуститься и защитить себя).
- Пройдите по найденному пути и удалите папку с майнером навсегда.
Берегите свои ресурсы и не дайте хакерам зарабатывать на вашем электричестве!
Ваш компьютер начал жутко шуметь вентиляторами в простое, но стоит вам открыть «Диспетчер задач» или «Монитор ресурсов», как он тут же замолкает? Поздравляю (на самом деле нет), скорее всего, вы подхватили «умного» скрытого майнера.
Такие вирусы запрограммированы прекращать работу, как только пользователь пытается посмотреть, что именно грузит систему. Обычными антивирусами их поймать сложно, потому что они маскируются под системные файлы (например, svchost.exe).
Но мы не будем устанавливать сомнительные программы для очистки. Мы поймаем его с помощью хитрости и встроенного инструмента Windows — PowerShell.
Мы напишем короткий скрипт (код), который будет работать в фоне и каждую секунду записывать в текстовый файл все процессы, потребляющие ресурсы процессора. Поскольку это простое текстовое окно, майнер не распознает в нём угрозу и запустится на полную мощность. А мы тем временем запишем, где прячется его файл!
Чтобы скрипт увидел скрытые вирусы, нам нужны права Администратора.
- Нажмите меню Пуск (или клавишу Win на клавиатуре).
- Начните печатать слово: PowerShell.
- В результатах поиска нажмите на Windows PowerShell правой кнопкой мыши и выберите «Запуск от имени администратора».
- Откроется синее (или черное) окно с мигающим курсором.
Скопируйте код ниже целиком. Затем просто кликните правой кнопкой мыши в окне PowerShell — код вставится автоматически. Если он не запустился сам, нажмите Enter.
PowerShell
# Ловушка для скрытого майнера. Сохраняет лог в папку "Документы"
$logPath = "$env:USERPROFILE\Documents\miner_hunter.txt"
Clear-Host
Write-Host "ОХОТА НА МАЙНЕРА ЗАПУЩЕНА!" -ForegroundColor Green
Write-Host "Лог пишется в папку 'Документы' -> файл miner_hunter.txt" -ForegroundColor Yellow
Write-Host "Закройте Диспетчер задач и просто ждите шума вентиляторов..." -ForegroundColor White
while($true) {
# Ищем процессы, которые активно используют процессор
$heavy = Get-Process | Where-Object { $_.CPU -gt 20 }
foreach ($p in $heavy) {
try {
$path = if ($p.Path) { $p.Path } else { "ПУТЬ СКРЫТ" }
$message = "$(Get-Date -Format 'HH:mm:ss') | ИМЯ: $($p.Name) | CPU: $([math]::Round($p.CPU)) | ГДЕ ЛЕЖИТ: $path"
# Вывод на экран и тихая запись в файл
Write-Host $message -ForegroundColor Cyan
Add-Content -Path $logPath -Value $message
} catch {}
}
Start-Sleep -Seconds 3
}
Как только вы увидели зеленую надпись «ОХОТА НА МАЙНЕРА ЗАПУЩЕНА!»:
- Обязательно закройте Диспетчер задач и Монитор ресурсов, если они открыты. Майнер должен думать, что за ним не следят.
- Оставьте компьютер в покое (не двигайте мышкой) на 5–10 минут.
- Дождитесь, пока вентиляторы снова начнут сильно шуметь (компьютер начнет греться).
- Дайте ему поработать так 30-40 секунд, чтобы скрипт успел записать злодея в файл.
Скрипт можно закрыть (просто нажмите крестик). Теперь идем смотреть улов!
- Откройте на компьютере стандартную папку «Документы» (Documents).
- Найдите там текстовый файл miner_hunter.txt и откройте его.
- Вы увидите много строк. Не пугайтесь больших цифр в колонке CPU — скрипт показывает общее время работы процесса в секундах, а не проценты.
Как найти вирус среди обычных программ: Нажмите Ctrl+F (поиск) и введите svchost (самая частая маскировка). Смотрите на то, что написано после слов «ГДЕ ЛЕЖИТ:»:
🟢 Нормальный процесс: ... | ГДЕ ЛЕЖИТ: C:\WINDOWS\system32\svchost.exe (Системная папка, всё хорошо, это просто фоновая работа Windows).
🔴 ВРЕДОНОСНЫЙ МАЙНЕР: ... | ГДЕ ЛЕЖИТ: C:\Users\Имя\AppData\Local\Temp\svchost.exe (В папках AppData, Temp, Roaming, или папках с играми системных файлов быть не должно! Это вирус).
Если вы нашли странный процесс, который лежит не в Program Files и не в Windows\System32:
- Скопируйте путь к этому файлу.
- Перезагрузите компьютер в Безопасном режиме (чтобы майнер не смог запуститься и защитить себя).
- Пройдите по найденному пути и удалите папку с майнером навсегда.
Берегите свои ресурсы и не дайте хакерам зарабатывать на вашем электричестве!
Поделиться
