MinerSearch — поиск и удаление майнера в Windows

Использование MinerSearch для удаления майнеровМайнеры, скрывающие своё наличие на компьютере, блокирующие сайты, скачивание и запуск антивирусов и тормозящих работу компьютеров — одна из самых распространённых сегодня угроз для пользователей Windows и, одновременно, сложны в удалении.

MinerSearch — бесплатная утилита для автоматического поиска майнеров и их удаления с ПК, а также нейтрализации выполненных ими изменений в системе, о ней и пойдёт речь далее в статье.

Загрузка и важная информация

Скачать MinerSearch можно с GitHub разработчика, при этом учитывайте следующие моменты:

  • Если открытие сайта заблокировано на вашем компьютере, можно скачать MinerSearch на другом, либо с телефона, после чего скопировать файл на ПК с майнером.
  • Браузер, Microsoft Defender и другие антивирусы могут блокировать его загрузку и распаковку. Решение (под вашу ответственность) — временно отключить защиту или добавить файл в исключения антивируса.
  • Пароль на архив указывается для каждого релиза в его описании, это — цифры версии Miner Search.
  • Проверка файла на VirusTotal покажет угрозы: вероятнее всего, это ложные срабатывания, обусловленные тем, что утилита вносит изменения в реестр и системные файлы. Однако, использование или не использование MinerSearch — полностью на ваш страх и риск.
  • Для работы программы требуется наличие .NET Framework версии 4.5.2 или более новой. В Windows 10 и 11 они уже установлены по умолчанию.

Несмотря на то, что большинство отзывов о MinerSearch положительные, учитывайте, что, как и другое ПО такого рода, использование утилиты потенциально может привести к неработоспособности тех или иных функций Windows, установленных сторонних программ и служб.

Использование MinerSearch

Базовый вариант использования MinerSearch для поиска и удаления майнеров с компьютера с параметрами по умолчанию состоит из следующих простых шагов:

Добавить в заметки чтобы посмотреть позже?

Чтобы узнавать о свежих записях укажите email:
  1. Распакуйте исполняемый файл и запустите его (требуются права администратора, запускать следует в обычном, а не безопасном режиме).
  2. Подтвердите принятие условий использования. В этом же окне рекомендую прочитать ответы на часто задаваемые вопросы, в частности, о том, что делать, если MinerSearch не запускается. Принять соглашение MinerSearch
  3. Дождитесь завершения процесса поиска и удаления майнеров, очистки результатов их действий на компьютере (с параметрами по умолчанию оно производится без запроса пользователя).
  4. Результат «No threats found» будет говорить о том, что угрозы не были обнаружены. Угрозы не обнаружены
  5. Сообщения о найденных угрозах и итоговое «Found threats: ЧИСЛО» с указанием количества обнаруженных угроз говорит о том, что майнер или другие вредоносные элементы были найдены. Найдены угрозы в MinerSearch
  6. Опционально, но желательно: изучите логи в окне MinerSearch или в файлах журнала, по умолчанию записываемых в папке C:_MinerSearch_Logs. Подробнее об условных обозначениях — в соответствующем разделе ниже.

Что именно выполняет MinerSearch в ходе проверки с параметрами по умолчанию:

  • Проверят наличие руткита в системе, способного скрыть другое вредоносное ПО (майнер) в диспетчере задач.
  • Выполняет проверку активных процессов, помечая все подозрительные и одновременно завершая их работу.
  • Сканирование файлов и папок, где могут находиться файлы майнера.
  • Проверяются вредоносные изменения в реестре, планировщике заданий, службах. Для служб проверка выполняется по наличию действительной цифровой подписи. Учитывайте: редко, но встречаются службы без подписи, поэтому рекомендуется изучить журнал сканирования, чтобы убедиться, что никакая нужная служба не была отклчюена.
  • Процессы, опознанные как вредоносные, принудительно завершаются, файлы этих процессов и файлы, найденные при сканировании папок, удаляются при определении их как вредоносные (соответствуют сигнатурам майнеров) и помещаются в карантин если есть предположение о том, что они являются вредоносными. Папка карантина minersearch_quarantine находится в папке с исполняемым файлом MinerSearch.
  • Выполняется сигнатурное сканирование всех исполняемых файлов на локальном системном диске.

Обозначения о ходе сканирования и журнале

Условные обозначения о событиях в ходе проверки MinerSearch в окне консоли и в файлах журнала:

Обозначение Пояснение
[!] Незначительное предупреждение
[!!] Предупреждение, на которое стоит обратить внимание
[!!!] Обнаружена угроза
[!!!!] Обнаружен руткит
[Reg] Cканирование раздела(ов) реестра
[+] Успешное выполнение действия (лечение, удаление и т.д.)
[x] Ошибка
[xxx] Критическая ошибка: например, при запуске в песочнице
[#] Статус
[.] Описание
[_] Разблокировка каталога и удаление, если пуст
[i] Информация
[$] Затраченное время сканирования

Параметры запуска

При необходимости, настройки сканирования можно изменить. Параметры запуска, поддерживаемые MinerSearch:

Параметр Действие
--help Вызов справки
--no-logs Не записывать журнал в файл
--no-scantime Сканировать только процессы
--no-runtime Не сканировать процессы (только каталоги, файлы, ключи реестра, и т.д.)
--no-services Пропустить сканирование служб
--no-signature-scan Пропустить сигнатурное сканирование файлов
--no-rootkit-check Не проверять присутствие руткита
--depth=[число] Где [число] — уровень максимальной глубины поиска. Пример использования —depth=5 (по-умолчанию 8)
--pause Пауза перед очисткой
--remove-empty-tasks Удалять задачу из Планировщика задач, если исполняемый файл не существует
--winpemode Запускает сканирование в режиме WinPE (без сканирования процессов, реестра, правил фаерволла, служб, задач планировщика)
--scan-only Отображать вредоносный или подозрительный объект, но не выполнять лечение
--full-scan Целиком добавляет другие локальные диски для сигнатурного сканирования
--restore=[путь] Восстановить указанный файл из карантина, путь к файлу в карантине не должен содержать пробелов

Например, для запуска MinerSearch без проверки на наличие руткитов, запущенных процессов, служб и сигнатурного сканирования можно использовать команду:

"C:ПутьMinerSearch.exe" --no-rootkit-check --no-runtime --no-services --no-signature-scan

Порядок указания параметров запуска и регистр не играет роли.

Подводя итог, если вы отчаялись в попытках найти и удалить майнер с компьютера, MinerSearch может оказаться тем инструментом, который сработает.

Дополнительные инструменты и материалы, которые могут помочь в решении проблем с майнерами:

Разработчик MinerSearch присутствует в группе Телеграм сайта remontka.pro, где ему можно задать вопросы. Замечания и пожелания можно написать в «Issues» на странице проекта в GitHub.

+ +