Заметка Как найти и удалить скрытые майнеры и другие вредоносные программы на Windows

[0x42]

Удаление скрытых майнеров и вредоносных программ: пошаговое руководство​

Эта инструкция поможет вам выявить и удалить скрытые криптомайнеры (XMRig, CoinMiner), стилеры (RedLine, AgentTesla), трояны с автозапуском и персистентностью (AsyncRAT, Pennywise), мешающие нормальной работе Windows.

Здесь собраны все этапы: от распознавания симптомов заражения и запуска в безопасный режим — до ручного анализа системы и запуска антивирусных сканеров.​

Частые вредоносные программы​

Вредонос	Поведение	Где прячется
XMRig	Майнинг Monero на CPU/GPU	system.exe, winhost.exe
Wacatac.B!ml	Инжектор и майнер	dllhost.exe, wuauclt.exe
CoinMiner.Gen	Генерическая сигнатура майнеров	msiexec.exe, services.exe
RedLine Stealer	Кража паролей и сессий браузеров	AdobeUpdate.exe, JavaUpdate.exe
AgentTesla	Кейлоггер и стилер с телеметрией	svchost.exe в %AppData%
AsyncRAT / Quasar	Удалённый контроль (RAT)	wscript.exe, schtasks
Pennywise	Маскируется под Discord, Java	.jar, .exe в Temp, Roaming

Признаки заражения​

1. Высокая загрузка CPU/GPU без видимых причин
2. Процессы вроде msiexec.exe, svchost.exe, conhost.exe — вне System32
3. Папки %AppData%, %Temp%, %ProgramData% содержат .exe, .vbs, .bat
4. Планировщик задач (taskschd.msc) содержит задания: Java Update, System Service, OneDrive Sync
5. Антивирус отключён, диспетчер задач или реестр закрываются сами

Переход в безопасный режим с поддержкой сети​

Зачем: безопасный режим загружает только базовые службы, часто в таком режиме вредоносы не работают.

Способ A: прерывание загрузки​

Трижды выключите питание до логотипа Windows. На 3-й раз запустится восстановление. Далее:
→ Дополнительные параметры
→ Параметры загрузки
→ Нажмите клавишу 5 — Безопасный режим с поддержкой сети

Способ B: через командную строку​

Открытие cmd от администратора​

1. Win + S → cmd
2. ПКМ → Запуск от имени администратора

Если система заражена — Ctrl+Alt+Del → Диспетчер задач → Файл → Новая задача → cmd.exe с галочкой создать задачу с правами администратора.

Активация безопасного режима:​

bcdedit /set {current} safeboot network

Перезагрузка:​

shutdown -r -t 0

Отключение безопасного режима:​

bcdedit /deletevalue {current} safeboot
shutdown -r -t 0

Антивирусные сканеры (рекомендуется запускать в безопасном режиме)​

• ESET Online Scanner — Free Online Virus Scan & Removal Tool | ESET
• Dr.Web CureIt! — Dr.Web CureIt! — Лечащая утилита
• Kaspersky Virus Removal Tool (KVRT) — Kaspersky Virus Removal Tool - онлайн проверка на вирусы без установки | Лаборатория Касперского
• Malwarebytes Free — Official Site | Malwarebytes: Antivirus, Anti-Malware & Privacy

Ручная проверка и удаление​

После проверки сканерами, можно вручную также проверить следующее:

1. Autoruns — удаление вредоносов из автозагрузки (Скачать и запустить от имени администратора)​

Autoruns - Sysinternals
Проверьте вкладки: Logon, Scheduled Tasks, Services
Удалите записи:

• С неизвестным издателем
• С путями в Temp, AppData, ProgramData
• Файлы типа .exe, .vbs, .ps1

2. Планировщик задач​

В командной строке:

schtasks /query /fo LIST /v

Удалите подозрительные задания:

schtasks /delete /tn "ИмяЗадачи" /f

3. Удаление файлов и очистка реестра​

• Удалите подозрительные программы из следующих папок:
  

  %AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

  %LocalAppData%\Temp\

• Проверьте реестр и удалите подозрительные ключи, указывающие на .exe/.vbs вне System32.:
  

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Дополнительные меры защиты​

В командной строке:

1. Отключить запуск PowerShell-скриптов:
   

   Set-ExecutionPolicy Restricted -Scope LocalMachine

2. Заблокировать wscript.exe:
   

   reg add "HKLM\Software\Microsoft\Windows Script Host\Settings" /v Enabled /t REG_DWORD /d 0 /f