Как найти и убрать скрытый криптодобытчик из папки AppData\Local\Temp

Автор На чтение 9 мин Просмотров 1 Опубликовано
Содержание
  1. Как найти и убрать скрытый криптодобытчик из папки AppData\Local\Temp
  2. Почему именно папка Temp?
  3. Шаг 1: Запусти Диспетчер задач и найди подозрительные процессы
  4. Шаг 2: Проверь папку Temp вручную
  5. Шаг 3: Проверь, не запущен ли файл через Планировщик заданий
  6. Шаг 4: Удали подозрительные файлы из Temp
  7. Шаг 5: Проверь автозагрузку
  8. Шаг 6: Проверь реестр (если уверены — иначе пропусти)
  9. Что ещё может быть? Таблица: как отличить вредоносный файл от легитимного
  10. Частые ошибки — и почему они ведут к повторному заражению
  11. Что делать, если не уверен — сценарии выбора
  12. Как лучше сделать — практические рекомендации
  13. Итог: что делать прямо сейчас

Как найти и убрать скрытый криптодобытчик из папки AppData\Local\Temp

Ты заметил, что компьютер тормозит, вентиляторы крутятся на полную, а температура процессора — как в парилке, даже когда ты ничего не запускаешь? Или в Диспетчере задач видишь какой-то странный процесс с именем вроде svchost_7a2f.exe или temp_4d9c.dll, который жрёт 80% CPU? Это не сбой, не обновление Windows — это, скорее всего, криптодобытчик, который проник в твою папку AppData\Local\Temp.

Это не редкость. Злоумышленники маскируют вредоносные программы под временные файлы — именно туда они скидывают свои скрипты, потому что люди редко туда заглядывают. И если ты не знаешь, как там разобраться, ты просто игнорируешь вирус, который тайно добывает биткоины за твой счёт — и твою электричество, и твой процессор, и твоё время.

Я не буду рассказывать, как работает блокчейн или что такое хэш-функции. Я покажу тебе, как найти и уничтожить этот гад в папке Temp — прямо сейчас, шаг за шагом. Без паники, без сложных утилит, без «нужно установить что-то». Только то, что работает.

Почему именно папка Temp?

Папка C:\Users\Имя_пользователя\AppData\Local\Temp — это место, где Windows и программы складывают временные файлы: установщики, кэш, логи, скачанные фрагменты. Она автоматически очищается, но не всегда — и злоумышленники это знают.

Вот как они работают:

  • Проникают через фишинг, уязвимый софт или вредоносную рекламу.
  • Скачивают в Temp исполняемый файл с именем, похожим на системный — например, svchost.exe, но в папке Temp, а не в System32.
  • Добавляют себя в автозагрузку через реестр или задачу в Планировщике заданий.
  • Запускают процесс, который использует CPU/GPU для майнинга — и делает это тихо, пока ты не заметишь перегрев.

Самое опасное — он не всегда отображается как «криптодобытчик». Он может выглядеть как dllhost.exe, wscript.exe, temp_1a3b.bat, или даже как chrome_update.exe. Главное — он в Temp, а не в Program Files или System32.

Шаг 1: Запусти Диспетчер задач и найди подозрительные процессы

Нажми Ctrl+Shift+Esc. Перейди на вкладку Процессы. Отсортируй по CPU — сначала самые жирные.

Ищи процессы с такими признаками:

  • Имя не из стандартного списка: svchost.exe, explorer.exe, dllhost.exe — нормально. Но если там svchost_7a2f.exe — уже тревожно.
  • Расположение файла — C:\Users\...\AppData\Local\Temp\. Нажми правой кнопкой → Открыть расположение файла. Если ты попал в Temp — это почти всегда вредоносный файл.
  • Потребление CPU выше 60–70% при простое.
  • Нет описания или описание — «Неизвестный процесс».

Если нашёл такой процесс — не закрывай его сразу. Запомни имя и путь. Нам нужно убедиться, что это не ложное срабатывание.

Шаг 2: Проверь папку Temp вручную

Открой проводник. В адресной строке введи:

%LOCALAPPDATA%\Temp

Нажми Enter. Перед тобой — куча файлов с именами вроде tmp1234.tmp, ~WRS1234.tmp, temp_5d8c.exe. Многие из них — безвредные временные файлы. Но нам нужно найти те, что подозрительны.

Сортируй файлы по дате изменения. Ищи файлы, которые появились в тот же день, когда ты начал замечать тормоза.

Отфильтруй по типу: нажми на столбец Тип файла. Ищи файлы с расширениями:

  • .exe
  • .dll
  • .bat
  • .vbs
  • .js

Если ты видишь temp_3f9a.exe — это почти наверняка вредоносный. Настоящие системные файлы в Temp не имеют таких имён. Их имена — случайные наборы символов, но они не похожи на «temp_» или «svchost_».

Шаг 3: Проверь, не запущен ли файл через Планировщик заданий

Криптодобытчики не просто запускаются — они автоматически перезапускаются, если ты их убьёшь. Чтобы убедиться, что ты не удалишь только копию, а не источник — проверь Планировщик заданий.

Нажми Win+R, введи taskschd.msc, нажми Enter.

В левой панели выбери Планировщик заданий → Библиотека планировщика заданий. В правой — ищи задания с подозрительными именами:

  • TempUpdate
  • SystemCheck
  • svchost_7a2f
  • temp_1a3b

Кликни правой кнопкой → Свойства. В вкладке Действия смотри на поле Программа или сценарий. Если там путь вроде:

C:\Users\Алексей\AppData\Local\Temp\temp_3f9a.exe

— это он. Нажми Удалить. Не отключай — удаляй. Отключение не поможет: файл останется, и при следующем запуске он снова заработает.

Шаг 4: Удали подозрительные файлы из Temp

Теперь вернись в папку Temp. Выбери все файлы, которые:

  • Имеют подозрительные имена (как выше);
  • Созданы или изменены за последние 2–3 дня;
  • Имеют расширения .exe, .dll, .bat, .vbs, .js;
  • Их размер больше 5 МБ — криптодобытчики не маленькие.

Выдели их, нажми Shift+Delete. Не в корзину — сразу. Потому что криптодобытчики могут восстановиться из корзины, если в ней есть автозагрузка.

Если файл не удаляется — значит, он всё ещё запущен. Закрой все подозрительные процессы в Диспетчере задач (правой кнопкой → Завершить задачу), потом попробуй снова.

Шаг 5: Проверь автозагрузку

Нажми Ctrl+Shift+Esc → вкладка Автозагрузка.

Ищи записи с именами вроде temp_3f9a, svchost_7a2f, SystemUpdate. Если они есть — выбери их и нажми Отключить.

Также проверь msconfig: нажми Win+R, введи msconfig, перейди на вкладку Автозагрузка (в Windows 10/11 — это перенаправит на Диспетчер задач, но если ты в старой версии — там будет список). Убери галочки с подозрительных пунктов.

Шаг 6: Проверь реестр (если уверены — иначе пропусти)

Это уже продвинутый шаг. Если ты не уверен — пропусти. Но если ты хочешь убедиться, что вирус не остался в реестре — сделай так:

Нажми Win+R, введи regedit, нажми Enter.

Перейди в:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

И в:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Смотри на значения справа. Если видишь имя, которое совпадает с тем, что ты удалил из Temp — например, temp_3f9a.exe — кликни правой кнопкой → Удалить.

Не трогай ничего другого. Ошибки в реестре могут сломать Windows. Только то, что точно связано с подозрительным файлом.

Что ещё может быть? Таблица: как отличить вредоносный файл от легитимного

Вот что может сбивать с толку — некоторые легитимные программы тоже создают файлы в Temp. Вот как отличить:

Признак Вредоносный файл Легитимный файл
Имя файла temp_5d8c.exe, svchost_7a2f.exe, update_1a3b.bat Chrome_23a.tmp, Adobe_9f1c.log, Steam_8b2d.dat
Расположение Только в AppData\Local\Temp Иногда в Temp, но часто в Program Files или AppData\Roaming
Размер 5–50 МБ (добытчик — тяжёлый) Килобайты — несколько МБ (логи, кэш)
Появление Появился внезапно, без установки софта Появился после установки программы или обновления
Поведение Постоянно жрёт CPU, не закрывается Запускается и закрывается, не нагружает систему
Описание в свойствах «Неизвестный» или пусто Указано имя компании (например, «Google Inc.»)

Если файл соответствует хотя бы трём пунктам из левой колонки — удаляй. Не сомневайся.

Частые ошибки — и почему они ведут к повторному заражению

  1. Удаляешь только файл, но не убираешь автозагрузку. — Файл исчез, но Планировщик заданий или реестр снова его запускает. Через час — он на месте.
  2. Закрываешь процесс, но не удаляешь файл. — Процесс перезапустится при следующем запуске. Ты просто «отключил» его, не уничтожив.
  3. Используешь антивирус, но не проверяешь Temp вручную. — Многие антивирусы не видят криптодобытчики в Temp, если они не известны в базе. Они «запускаются» как легитимные процессы.
  4. Очищаешь Temp через «Очистку диска». — Это удаляет только старые файлы. Криптодобытчик — новый. Он не попадёт в список «для удаления».
  5. Паникуешь и переустанавливаешь Windows. — Не нужно. Это лишняя трата времени. Ты можешь убрать это за 15 минут, если действуешь правильно.

Что делать, если не уверен — сценарии выбора

Не все ситуации одинаковы. Вот как действовать в разных случаях:

  • Если ты новичок и боишься что-то сломать: Закрой подозрительные процессы в Диспетчере задач, удали файлы из Temp, отключи автозагрузку. Не трогай реестр. Запусти Malwarebytes — он бесплатно найдёт и уберёт остатки. Это безопасно.
  • Если у тебя старый ПК и ты не хочешь ставить новые программы: Делай всё вручную — как описано выше. Не нужны сторонние утилиты. Только Диспетчер задач, Планировщик заданий и проводник.
  • Если ты заметил это после установки «бесплатного» софта: Удали этот софт через «Программы и компоненты». Потом сделай всё, что описано выше. Криптодобытчики часто приходят в комплекте с «фри-софтом».
  • Если ты видишь, что процесс возвращается после перезагрузки: Значит, ты не удалил автозагрузку. Проверь Планировщик заданий и реестр. Это 90% случаев повторного заражения.

Как лучше сделать — практические рекомендации

После удаления:

  • Перезагрузи компьютер — это сбросит все остаточные процессы.
  • Запусти cleanmgr — очисти временные файлы. Это не удалит криптодобытчик, но уберёт мусор, который может мешать.
  • Включи «Защитник Windows» — он автоматически сканирует папку Temp. Убедись, что он включён: Win+I → «Обновление и безопасность» → «Защитник Windows».
  • Не скачивай софт с торрентов, пиратских сайтов, не кликай на «бесплатные обновления» в браузере.
  • Раз в месяц заходи в %LOCALAPPDATA%\Temp и смотри — нет ли новых файлов с подозрительными именами. Это профилактика.

Если ты сделал всё это — ты убрал криптодобытчик. Не просто «закрыл» — ты уничтожил его источник, автозагрузку и повторные запуски. Твой процессор перестанет греться. Электричество перестанет уходить в пустоту. Компьютер снова станет твоим.

Итог: что делать прямо сейчас

Вот твой чек-лист на 10 минут:

  1. Открой Диспетчер задач → найди процесс с высоким CPU, который запущен из Temp.
  2. Нажми «Открыть расположение файла» — если это AppData\Local\Temp — запомни имя.
  3. Открой папку Temp → найди и удали файл с этим именем (Shift+Delete).
  4. Открой Планировщик заданий → найди и удали задачу с таким же именем.
  5. Открой Диспетчер задач → вкладка «Автозагрузка» → отключи подозрительные записи.
  6. Перезагрузи компьютер.

Если после этого процесс не вернулся — ты победил. Никаких антивирусов, никаких «установок», никаких сложностей. Только твои действия и знание, где искать.

Ты не должен доверять «автоматике». Ты должен знать, где живёт вирус. И теперь ты знаешь.

Информация в этой статье предназначена для ознакомления и практического устранения известных угроз. Если ты не уверен в своих действиях, или компьютер продолжает вести себя подозрительно — обратись к специалисту по кибербезопасности. Самостоятельное вмешательство в системные файлы может привести к потере данных, если действия выполнены некорректно.

Оцените статью
PEFile — Безопасность и технологии простым языком
© 2026 PEFile — Безопасность и технологии простым языком