MinerSearch — поиск и удаление майнера в Windows
Майнеры, скрывающие своё наличие на компьютере, блокирующие сайты, скачивание и запуск антивирусов и тормозящих работу компьютеров — одна из самых распространённых сегодня угроз для пользователей Windows и, одновременно, сложны в удалении.
MinerSearch — бесплатная утилита для автоматического поиска майнеров и их удаления с ПК, а также нейтрализации выполненных ими изменений в системе, о ней и пойдёт речь далее в статье.
Загрузка и важная информация
Скачать MinerSearch можно с GitHub разработчика, при этом учитывайте следующие моменты:
- Если открытие сайта заблокировано на вашем компьютере, можно скачать MinerSearch на другом, либо с телефона, после чего скопировать файл на ПК с майнером.
- Браузер, Microsoft Defender и другие антивирусы могут блокировать его загрузку и распаковку. Решение (под вашу ответственность) — временно отключить защиту или добавить файл в исключения антивируса.
- Загружать нужно архив RAR, остальные файлы — это архивы с исходным кодом. Пароль на архив указывается для каждого релиза в его описании, это — цифры версии Miner Search.
- Проверка файла на VirusTotal покажет угрозы: вероятнее всего, это ложные срабатывания, обусловленные тем, что утилита вносит изменения в реестр и системные файлы. Однако, использование или не использование MinerSearch — полностью на ваш страх и риск.
- Для работы программы требуется наличие .NET Framework версии 4.5.2 или более новой. В Windows 10 и 11 они уже установлены по умолчанию.
Несмотря на то, что большинство отзывов о MinerSearch положительные, учитывайте, что, как и другое ПО такого рода, использование утилиты потенциально может привести к неработоспособности тех или иных функций Windows, установленных сторонних программ и служб.
Использование MinerSearch
Базовый вариант использования MinerSearch для поиска и удаления майнеров с компьютера с параметрами по умолчанию состоит из следующих простых шагов:
- Распакуйте исполняемый файл и запустите его (требуются права администратора, запускать следует в обычном, а не безопасном режиме).
- Подтвердите принятие условий использования. В этом же окне рекомендую прочитать ответы на часто задаваемые вопросы, в частности, о том, что делать, если MinerSearch не запускается.
- Дождитесь завершения процесса поиска и удаления майнеров, очистки результатов их действий на компьютере (с параметрами по умолчанию оно производится без запроса пользователя).
- Результат «No threats found» будет говорить о том, что угрозы не были обнаружены.
- Сообщения о найденных угрозах и итоговое «Found threats: ЧИСЛО» с указанием количества обнаруженных угроз говорит о том, что майнер или другие вредоносные элементы были найдены.
- Опционально, но желательно: изучите логи в окне MinerSearch или в файлах журнала, по умолчанию записываемых в папке C:\_MinerSearch_Logs. Подробнее об условных обозначениях — в соответствующем разделе ниже.
Что именно выполняет MinerSearch в ходе проверки с параметрами по умолчанию:
- Проверят наличие руткита в системе, способного скрыть другое вредоносное ПО (майнер) в диспетчере задач.
- Выполняет проверку активных процессов, помечая все подозрительные и одновременно завершая их работу.
- Сканирование файлов и папок, где могут находиться файлы майнера.
- Проверяются вредоносные изменения в реестре, планировщике заданий, службах. Для служб проверка выполняется по наличию действительной цифровой подписи. Учитывайте: редко, но встречаются службы без подписи, поэтому рекомендуется изучить журнал сканирования, чтобы убедиться, что никакая нужная служба не была отклчюена.
- Процессы, опознанные как вредоносные, принудительно завершаются, файлы этих процессов и файлы, найденные при сканировании папок, удаляются при определении их как вредоносные (соответствуют сигнатурам майнеров) и помещаются в карантин если есть предположение о том, что они являются вредоносными. Папка карантина minersearch_quarantine находится в папке с исполняемым файлом MinerSearch.
- Выполняется сигнатурное сканирование всех исполняемых файлов на локальном системном диске.
Обозначения о ходе сканирования и журнале
Условные обозначения о событиях в ходе проверки MinerSearch в окне консоли и в файлах журнала:
| Обозначение | Пояснение |
|---|---|
| [!] | Незначительное предупреждение |
| [!!] | Предупреждение, на которое стоит обратить внимание |
| [!!!] | Обнаружена угроза |
| [!!!!] | Обнаружен руткит |
| [Reg] | Cканирование раздела(ов) реестра |
| [+] | Успешное выполнение действия (лечение, удаление и т.д.) |
| [x] | Ошибка |
| [xxx] | Критическая ошибка: например, при запуске в песочнице |
| [#] | Статус |
| [.] | Описание |
| [_] | Разблокировка каталога и удаление, если пуст |
| [i] | Информация |
| [$] | Затраченное время сканирования |
Параметры запуска
При необходимости, настройки сканирования можно изменить. Параметры запуска, поддерживаемые MinerSearch:
| Параметр | Действие |
|---|---|
--help | Вызов справки |
--no-logs | Не записывать журнал в файл |
--no-scantime | Сканировать только процессы |
--no-runtime | Не сканировать процессы (только каталоги, файлы, ключи реестра, и т.д.) |
--no-services | Пропустить сканирование служб |
--no-signature-scan | Пропустить сигнатурное сканирование файлов |
--no-rootkit-check | Не проверять присутствие руткита |
--depth=[число] | Где [число] — уровень максимальной глубины поиска. Пример использования —depth=5 (по-умолчанию 8) |
--pause | Пауза перед очисткой |
--remove-empty-tasks | Удалять задачу из Планировщика задач, если исполняемый файл не существует |
--winpemode | Запускает сканирование в режиме WinPE (без сканирования процессов, реестра, правил фаерволла, служб, задач планировщика) |
--scan-only | Отображать вредоносный или подозрительный объект, но не выполнять лечение |
--full-scan | Целиком добавляет другие локальные диски для сигнатурного сканирования |
--restore=[путь] | Восстановить указанный файл из карантина, путь к файлу в карантине не должен содержать пробелов |
Например, для запуска MinerSearch без проверки на наличие руткитов, запущенных процессов, служб и сигнатурного сканирования можно использовать команду:
"C:\Путь\MinerSearch.exe" --no-rootkit-check --no-runtime --no-services --no-signature-scan
Порядок указания параметров запуска и регистр не играет роли.
Дополнительная информация
Подводя итог, если вы отчаялись в попытках найти и удалить майнер с компьютера, MinerSearch может оказаться тем инструментом, который сработает.
Дополнительные инструменты и материалы, которые могут помочь в решении проблем с майнерами:
- AV Block Remover — утилита для отключения блокировок, установленных майнером
- Kaspersky Rescue Disk — загрузочный образ для поиска и удаления вирусов без входа в зараженную систему.
- Что делать, если майнер блокирует сайты, запуск и скачивание антивирусов
Разработчик MinerSearch присутствует в группе Телеграм сайта remontka.pro, где ему можно задать вопросы. Замечания и пожелания можно написать в «Issues» на странице проекта в GitHub.
Боб
Ну так-то на ВирусТотал 20 (целых ДВАДЦАТЬ) ругаются. Хотя «авторитеты» Каспер, ДокВэб, БитДефендер и ЕСЕТ вроде ничего не видят.
Вот в думках нахожусь. Вроде и Блокировщики рекламы( Адгуард и УблокОржин) стоят, и расширение MinerBlock блок поставил (показывает ноль), но всё равно сомнение имею. Долго страницы открываются, кулер шумит, нагрузка на ЦП иногда повышается. Симптомы вроде есть, а программульку запускать боязливо.
В обсуждениях в «Телеге» ссылка на ЮтубВидео есть, так там малый говорит, если при запуске ДЗ нагрузка на ЦП большая, но резко приходит в норму, то беспокоится не стоит. Чё скажите, Дмитрий, по моему опусу?
Благодарю.
Ответить
Dmitry
Здравствуйте.
Что касается обнаружения в VirusTotal — я тут ничего гарантировать не могу. Код открытый, люди которые на форумах смотрели его, говорят — чисто, но со своей стороны гарантий я давать не берусь.
Что касается проверок: если у вас не блокируются антивирусы и т.п., вы можете проверить в Kaspersky Virus Removal Tool (бесплатная утилита, не требующая установки и не конфликтующая с текущими антивирусами) — тут точно будет безопасно и если что-то есть вредное, она должна увидеть.
Ответить
Боб
Благодарю, Дмитрий.
No threats found
Удачи в настоящем и будущем. Продолжайте радовать полезностью и годнотой.
Ответить
Dmitry
Спасибо за отзыв! Взаимно!
Ответить
BlendLog
Здравствуйте. Насчет ДЗ это действительно так. Кратковременная нагрузка и замирание — нормальное явление. Диспетчер задач обращается к системным ресурсам для перечисления всех процессов, затем для вычисления % загружености ЦП, Памяти, Диска, Сети, Энергопотребления и т.д. Ему нужно это сделать с каждым процессом. После выделения нужных ему ресурсов обновление значений для процессов проходит быстрее. Поэтому дает такой эффект нагрузки.
Ответить
Ловкий Дилетант
Я не испугался и запустил. По итогу ничего не нашел, хотя «!» наставил, но думаю это кряки.
Ответить
Станислав
пароль от архивов не нашёл?
Ответить
Dmitry
В описании каждого релиза на GitHub пароль указан, представляет собой цифры номера версии.
Ответить
Станислав
скачал MinerSearch-1.4.6.1-распаковал-через какой файл запускать программу?
Ответить
Dmitry
А вы скачали именно исполняемый (архив rar, первый в списке), не архив с исходниками? Просто там как бы один всего файл.
Ответить
Koljach
Спасибо Большое вашему сайту — уже в 3й раз выручаете, когда появился интернет я обнаружил что у меня закрывается браузеры при переходе на сайт вирус тотал. диспетчер задач сам тоже закрывается , выпрыгивает ошибка о недостаче памяти , нестабильно работает комп- в общем чудеса… скачал MinerSearch, AvastFree и Kaspersky Virus Removal Tool — на флешку и переименовал все установочники. На зараженном компе отрубил инет так как все равно не дает скачивать антивирусы. удалил никчемный бесплатный доктор веб- перезагрузился — вставил флешку и MinerSearch закрывает вирус, не дает так же чтоб запустился AvastFree, помог только Kaspersky Virus Removal Tool !!! ( причем без инета) — обнаружил сканированием 6 вирусов среди них один майнер, 3 трояна и мальварь, и еще какая то, — это все с сайта оттуда качал игры «рекомендую подходит для поиска приключений»- большие игры у меня не было желания проверять…так как я этому сайту доверял — раньше качал много игр…
Ответить
art
получается, сабж не помог — автору нужно внести нужные изменения.
Во-первых несколько файлов (cmd, reg….) рядом с бинарником, которые будут переименовывать бинарник и использовать другие хитрости для запуска.
А может, автор уже забил на свой продукт?
Ответить
Dmitry
Только недавно (неделю-две назад) обновлял он продукт, так что нельзя сказать, что забил.
Ответить