Майнеры, скрывающие своё наличие на компьютере, блокирующие сайты, скачивание и запуск антивирусов и тормозящих работу компьютеров — одна из самых распространённых сегодня угроз для пользователей Windows и, одновременно, сложны в удалении.
MinerSearch — бесплатная утилита для автоматического поиска майнеров и их удаления с ПК, а также нейтрализации выполненных ими изменений в системе, о ней и пойдёт речь далее в статье.
Загрузка и важная информация
Скачать MinerSearch можно с GitHub разработчика, при этом учитывайте следующие моменты:
Если открытие сайта заблокировано на вашем компьютере, можно скачать MinerSearch на другом, либо с телефона, после чего скопировать файл на ПК с майнером.
Браузер, Microsoft Defender и другие антивирусы могут блокировать его загрузку и распаковку. Решение (под вашу ответственность) — временно отключить защиту или добавить файл в исключения антивируса.
Пароль на архив указывается для каждого релиза в его описании, это — цифры версии Miner Search.
Проверка файла на VirusTotal покажет угрозы: вероятнее всего, это ложные срабатывания, обусловленные тем, что утилита вносит изменения в реестр и системные файлы. Однако, использование или не использование MinerSearch — полностью на ваш страх и риск.
Для работы программы требуется наличие .NET Framework версии 4.5.2 или более новой. В Windows 10 и 11 они уже установлены по умолчанию.
Несмотря на то, что большинство отзывов о MinerSearch положительные, учитывайте, что, как и другое ПО такого рода, использование утилиты потенциально может привести к неработоспособности тех или иных функций Windows, установленных сторонних программ и служб.
Использование MinerSearch
Базовый вариант использования MinerSearch для поиска и удаления майнеров с компьютера с параметрами по умолчанию состоит из следующих простых шагов:
Добавить в заметки чтобы посмотреть позже?
Распакуйте исполняемый файл и запустите его (требуются права администратора, запускать следует в обычном, а не безопасном режиме).
Подтвердите принятие условий использования. В этом же окне рекомендую прочитать ответы на часто задаваемые вопросы, в частности, о том, что делать, если MinerSearch не запускается.
Дождитесь завершения процесса поиска и удаления майнеров, очистки результатов их действий на компьютере (с параметрами по умолчанию оно производится без запроса пользователя).
Результат «No threats found» будет говорить о том, что угрозы не были обнаружены.
Сообщения о найденных угрозах и итоговое «Found threats: ЧИСЛО» с указанием количества обнаруженных угроз говорит о том, что майнер или другие вредоносные элементы были найдены.
Опционально, но желательно: изучите логи в окне MinerSearch или в файлах журнала, по умолчанию записываемых в папке C:_MinerSearch_Logs. Подробнее об условных обозначениях — в соответствующем разделе ниже.
Что именно выполняет MinerSearch в ходе проверки с параметрами по умолчанию:
Проверят наличие руткита в системе, способного скрыть другое вредоносное ПО (майнер) в диспетчере задач.
Выполняет проверку активных процессов, помечая все подозрительные и одновременно завершая их работу.
Сканирование файлов и папок, где могут находиться файлы майнера.
Проверяются вредоносные изменения в реестре, планировщике заданий, службах. Для служб проверка выполняется по наличию действительной цифровой подписи. Учитывайте: редко, но встречаются службы без подписи, поэтому рекомендуется изучить журнал сканирования, чтобы убедиться, что никакая нужная служба не была отклчюена.
Процессы, опознанные как вредоносные, принудительно завершаются, файлы этих процессов и файлы, найденные при сканировании папок, удаляются при определении их как вредоносные (соответствуют сигнатурам майнеров) и помещаются в карантин если есть предположение о том, что они являются вредоносными. Папка карантина minersearch_quarantine находится в папке с исполняемым файлом MinerSearch.
Выполняется сигнатурное сканирование всех исполняемых файлов на локальном системном диске.
Обозначения о ходе сканирования и журнале
Условные обозначения о событиях в ходе проверки MinerSearch в окне консоли и в файлах журнала:
Обозначение
Пояснение
[!]
Незначительное предупреждение
[!!]
Предупреждение, на которое стоит обратить внимание
[!!!]
Обнаружена угроза
[!!!!]
Обнаружен руткит
[Reg]
Cканирование раздела(ов) реестра
[+]
Успешное выполнение действия (лечение, удаление и т.д.)
[x]
Ошибка
[xxx]
Критическая ошибка: например, при запуске в песочнице
[#]
Статус
[.]
Описание
[_]
Разблокировка каталога и удаление, если пуст
[i]
Информация
[$]
Затраченное время сканирования
Параметры запуска
При необходимости, настройки сканирования можно изменить. Параметры запуска, поддерживаемые MinerSearch:
Параметр
Действие
--help
Вызов справки
--no-logs
Не записывать журнал в файл
--no-scantime
Сканировать только процессы
--no-runtime
Не сканировать процессы (только каталоги, файлы, ключи реестра, и т.д.)
--no-services
Пропустить сканирование служб
--no-signature-scan
Пропустить сигнатурное сканирование файлов
--no-rootkit-check
Не проверять присутствие руткита
--depth=[число]
Где [число] — уровень максимальной глубины поиска. Пример использования —depth=5 (по-умолчанию 8)
--pause
Пауза перед очисткой
--remove-empty-tasks
Удалять задачу из Планировщика задач, если исполняемый файл не существует
--winpemode
Запускает сканирование в режиме WinPE (без сканирования процессов, реестра, правил фаерволла, служб, задач планировщика)
--scan-only
Отображать вредоносный или подозрительный объект, но не выполнять лечение
--full-scan
Целиком добавляет другие локальные диски для сигнатурного сканирования
--restore=[путь]
Восстановить указанный файл из карантина, путь к файлу в карантине не должен содержать пробелов
Например, для запуска MinerSearch без проверки на наличие руткитов, запущенных процессов, служб и сигнатурного сканирования можно использовать команду:
Порядок указания параметров запуска и регистр не играет роли.
Подводя итог, если вы отчаялись в попытках найти и удалить майнер с компьютера, MinerSearch может оказаться тем инструментом, который сработает.
Дополнительные инструменты и материалы, которые могут помочь в решении проблем с майнерами:
Разработчик MinerSearch присутствует в группе Телеграм сайта remontka.pro, где ему можно задать вопросы. Замечания и пожелания можно написать в «Issues» на странице проекта в GitHub.