Майнеры, скрывающие своё наличие на компьютере, блокирующие сайты, скачивание и запуск антивирусов и тормозящих работу компьютеров — одна из самых распространённых сегодня угроз для пользователей Windows и, одновременно, сложны в удалении.
MinerSearch — бесплатная утилита для автоматического поиска майнеров и их удаления с ПК, а также нейтрализации выполненных ими изменений в системе, о ней и пойдёт речь далее в статье.
Загрузка и важная информация
Скачать MinerSearch можно с GitHub разработчика, при этом учитывайте следующие моменты:
- Если открытие сайта заблокировано на вашем компьютере, можно скачать MinerSearch на другом, либо с телефона, после чего скопировать файл на ПК с майнером.
- Браузер, Microsoft Defender и другие антивирусы могут блокировать его загрузку и распаковку. Решение (под вашу ответственность) — временно отключить защиту или добавить файл в исключения антивируса.
- Загружать нужно архив RAR, остальные файлы — это архивы с исходным кодом. Пароль на архив указывается для каждого релиза в его описании, это — цифры версии Miner Search.
- Проверка файла на VirusTotal покажет угрозы: вероятнее всего, это ложные срабатывания, обусловленные тем, что утилита вносит изменения в реестр и системные файлы. Однако, использование или не использование MinerSearch — полностью на ваш страх и риск.
- Для работы программы требуется наличие .NET Framework версии 4.7.1 или более новой. В Windows 10 и 11 они уже установлены по умолчанию.
Несмотря на то, что большинство отзывов о MinerSearch положительные, учитывайте, что, как и другое ПО такого рода, использование утилиты потенциально может привести к неработоспособности тех или иных функций Windows, установленных сторонних программ и служб.
Использование MinerSearch
Базовый вариант использования MinerSearch для поиска и удаления майнеров с компьютера с параметрами по умолчанию состоит из следующих простых шагов:
- Распакуйте всё содержимое скачанного архива (не только исполняемый файл, не запускайте напрямую из архиватора) и запустите его (требуются права администратора, запускать следует в обычном, а не безопасном режиме).
- Подтвердите принятие условий использования. В этом же окне рекомендую прочитать ответы на часто задаваемые вопросы, в частности, о том, что делать, если MinerSearch не запускается.
- Дождитесь завершения процесса поиска и удаления майнеров, очистки результатов их действий на компьютере. С параметрами по умолчанию оно производится без запроса пользователя, но с помощью параметров командной строки можно выполнить только сканирование и ознакомиться с отчётом, о параметрах командной строки — далее.
- В ходе проверки после каждого этапа отображается её результат. Результат «Угроз не найдено» (No threats found) будет говорить о том, что угрозы на данном этапе проверки не были обнаружены.
- Сообщения о найденных угрозах на конкретном этапе проверки будут иметь вид «Найдено угроз: ЧИСЛО» (Found threats: Число) с указанием количества обнаруженных угроз. По завершении процесса вы увидите полный отчёт со сведениями о найденных угроз и подозрений на них, возможностью просмотреть файлы в карантине:
- По нажатии на кнопку «Показать отчёт» будет открыт полный отчёт о выполненной работе с условными обозначениями:
- Сами файлы журналов по умолчанию записываются в папку C:_MinerSearch_Logs. Подробнее об условных обозначениях — в соответствующем разделе ниже.
Что именно выполняет MinerSearch в ходе проверки с параметрами по умолчанию:
- Проверят наличие руткита в системе, способного скрыть другое вредоносное ПО (майнер) в диспетчере задач.
- Выполняет проверку активных процессов, помечая все подозрительные и одновременно завершая их работу.
- Сканирование файлов и папок, где могут находиться файлы майнера.
- Проверяются вредоносные изменения в реестре, планировщике заданий, службах. Для служб проверка выполняется по наличию действительной цифровой подписи. Учитывайте: редко, но встречаются службы без подписи, поэтому рекомендуется изучить журнал сканирования, чтобы убедиться, что никакая нужная служба не была отклчюена.
- Процессы, опознанные как вредоносные, принудительно завершаются, файлы этих процессов и файлы, найденные при сканировании папок, удаляются при определении их как вредоносные (соответствуют сигнатурам майнеров) и помещаются в карантин если есть предположение о том, что они являются вредоносными. Папка карантина minersearch_quarantine находится в папке с исполняемым файлом MinerSearch.
- Выполняется сигнатурное сканирование всех исполняемых файлов на локальном системном диске.
Обозначения о ходе сканирования и журнале
Условные обозначения о событиях в ходе проверки MinerSearch в окне консоли и в файлах журнала:
| Обозначение | Пояснение |
|---|---|
| [!] | Незначительное предупреждение |
| [!!] | Предупреждение, на которое стоит обратить внимание |
| [!!!] | Обнаружена угроза |
| [!!!!] | Обнаружен руткит |
| [Reg] | Cканирование раздела(ов) реестра |
| [+] | Успешное выполнение действия (лечение, удаление и т.д.) |
| [x] | Ошибка |
| [xxx] | Критическая ошибка: например, при запуске в песочнице |
| [#] | Статус |
| [.] | Описание |
| [_] | Разблокировка каталога и удаление, если пуст |
| [i] | Информация |
| [$] | Затраченное время сканирования |
Параметры запуска
При необходимости, настройки сканирования можно изменить. Параметры запуска, поддерживаемые MinerSearch:
| Параметр | Действие |
|---|---|
| —help | Вызов справки |
| —no-logs | Не записывать журнал в файл |
| —no-scantime | Сканировать только процессы |
| —no-runtime | Не сканировать процессы (только каталоги, файлы, ключи реестра, и т.д.) |
| —no-services | Пропустить сканирование служб |
| —no-signature-scan | Пропустить сигнатурное сканирование файлов |
| —no-rootkit-check | Не проверять присутствие руткита |
| —run-as-system | Запуск с правами системы |
| —select | Выбор сканируемого каталога, включая вложенные |
| —verbose | Вывод и запись в журнал подробной информации о процессах, даже не признанных вредоносными |
| —depth=[число] | Где [число] — уровень максимальной глубины поиска. Пример использования —depth=5 (по-умолчанию 8) |
| —pause | Пауза перед очисткой |
| —remove-empty-tasks | Удалять задачу из Планировщика задач, если исполняемый файл не существует |
| —winpemode | Запускает сканирование в режиме WinPE (без сканирования процессов, реестра, правил фаерволла, служб, задач планировщика) |
| —scan-only | Отображать вредоносный или подозрительный объект, но не выполнять лечение |
| —full-scan | Целиком добавляет другие локальные диски для сигнатурного сканирования |
| —restore=[путь] | Восстановить указанный файл из карантина, путь к файлу в карантине не должен содержать пробелов |
| —no-scan-tasks | Не сканировать задания планировщика заданий |
| —debug | Запуск в режиме отладки при использовании в командной строке или PowerShell |
Например, для запуска MinerSearch без проверки на наличие руткитов, запущенных процессов, служб и сигнатурного сканирования можно использовать команду:
«C:ПутьMinerSearch.exe» —no-rootkit-check —no-runtime —no-services —no-signature-scan
Порядок указания параметров запуска и регистр не играет роли.
Дополнительная информация
Подводя итог, если вы отчаялись в попытках найти и удалить майнер с компьютера, MinerSearch может оказаться тем инструментом, который сработает.
Дополнительные инструменты и материалы, которые могут помочь в решении проблем с майнерами:
- AV Block Remover — утилита для отключения блокировок, установленных майнером
- Kaspersky Rescue Disk — загрузочный образ для поиска и удаления вирусов без входа в зараженную систему.
- Что делать, если майнер блокирует сайты, запуск и скачивание антивирусов
Разработчик MinerSearch присутствует в группе Телеграм сайта remontka.pro, где ему можно задать вопросы, там же у него есть и собственный канал. Дополнительно, замечания и пожелания можно написать в «Issues» на странице проекта в GitHub.
