Как найти и удалить криптомайнер, который прячется в процессах Windows

Криптомайнер в Windows редко выглядит как понятная программа «CryptoMiner.exe». Чаще он маскируется под системный процесс, запускается из временной папки, сидит в автозагрузке или стартует через планировщик заданий. Поэтому искать его только по названию процесса — плохая идея. Правильнее смотреть сразу на несколько признаков: загрузку CPU/GPU, путь к файлу, сетевые соединения, автозапуск и цифровую подпись.

Ниже — практический порядок действий для Windows 10 и Windows 11: как понять, что майнер действительно есть, где его искать, чем проверить систему и как убрать так, чтобы он не вернулся через час.

Как понять, что это может быть майнер, а не просто «тормозит Windows»

У майнера обычно есть несколько типичных признаков. Сам по себе каждый из них ещё ничего не доказывает, но если совпало несколько — стоит проверять компьютер глубже.

  • Компьютер сильно греется, шумят вентиляторы, хотя открыто мало программ.
  • В простое система загружена на 80–100% по CPU или GPU.
  • После открытия диспетчера задач нагрузка резко падает — майнер умеет уходить в «спящий режим» при обнаружении.
  • Незнакомый процесс висит в AppData, Temp, ProgramData или в папке пользователя.
  • Процесс называется как системный: svchost.exe, dllhost.exe, runtimebroker.exe, conhost.exe, но лежит не там, где должен.
  • Есть странные сетевые соединения с неизвестными IP-адресами или доменами.
  • В планировщике заданий, службах или автозагрузке появились непонятные элементы.

Для майнера характерно не просто «много нагрузки», а именно скрытая нагрузка: процесс может маскироваться, менять имя, запускаться по расписанию и отключаться, когда вы открываете диспетчер задач или антивирус.

С чего начать: не удалять сразу, а зафиксировать следы

Первое, что я бы сделал, — не стал бы сразу удалять подозрительные файлы. Если майнер вернётся, вы не поймёте, откуда он запускается. Нужно сначала посмотреть, где он лежит, как называется, кто его родительский процесс и где он прописан в автозапуске.

Перед проверкой лучше сделать три вещи:

  1. Отключить интернет на время диагностики, если компьютер явно перегревается или майнит постоянно.
  2. Закрыть лишние тяжёлые программы: игры, браузер с десятками вкладок, видеоредакторы.
  3. Не перезагружаться лишний раз, если хотите поймать майнер в активном состоянии.

Если перезагрузиться нужно — делайте это в безопасный режим, но сначала по возможности посмотрите подозрительные процессы в обычном режиме.

Где искать майнер в процессах Windows

Диспетчер задач полезен, но его одного мало. Он показывает нагрузку и имена процессов, но часто не даёт всей картины: путь к файлу, родительский процесс, автозапуск, подписи и сетевые соединения.

Для нормальной диагностики лучше использовать Microsoft Sysinternals Process Explorer. Это бесплатная утилита от Microsoft, и для таких задач она удобнее штатного диспетчера задач.

Что смотреть в Process Explorer:

  • Path — полный путь к исполняемому файлу. Если процесс с именем svchost.exe лежит в C:\Users\…\AppData\Roaming, это почти наверняка подозрительно.
  • Company Name — производитель. У системных процессов обычно есть Microsoft Corporation.
  • Digital Signature — подпись. У легитимных файлов она обычно есть и проверяется.
  • Parent Process — кто запустил процесс. Если powershell.exe запустил случайный exe-файл из Temp, это тревожный признак.
  • Command Line — команда запуска. Майнеры часто запускаются через powershell, rundll32, wscript, mshta, regsvr32 или планировщик заданий.

Отдельно смотрите на загрузку GPU. Если видеокарта молотит на 90–100% в простое, а в диспетчере задач вы не видите тяжёлых программ, майнер может использовать отдельный процесс или временно отключаться.

Как отличить подделку от нормального системного процесса

Самая частая ошибка — увидеть svchost.exe, dllhost.exe или rundll32.exe и сразу решить, что это вирус. Эти процессы сами по себе нормальные. Проблема начинается, когда они находятся не там, где должны, запущены с подозрительными параметрами или не имеют подписи.

Процесс Где обычно нормальный Когда стоит насторожиться
svchost.exe C:\Windows\System32\svchost.exe или SysWOW64 Лежит в AppData, Temp, ProgramData; нет подписи Microsoft; запускает неизвестные DLL
dllhost.exe C:\Windows\System32\dllhost.exe Постоянно грузит CPU/GPU; путь не системный; запущен от имени пользователя из временной папки
rundll32.exe C:\Windows\System32\rundll32.exe Загружает DLL из AppData, Temp или ProgramData
powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe Запускает скачанные скрипты, base64-команды, подключения к внешним адресам
conhost.exe C:\Windows\System32\conhost.exe Появился из пользовательской папки или связан с майнером/скриптом
explorer.exe C:\Windows\explorer.exe Лежит в другой папке, имеет странную подпись или запускает дочерние процессы из Temp

Главное правило: путь и подпись значат больше, чем имя файла. Имя можно подделать за минуту. Путь, родительский процесс и автозапуск расскажут больше.

Проверка сетевых соединений: майнер часто выдаёт себя адресами пулов

Криптомайнеру нужно куда-то отправлять результат работы. Поэтому он часто держит соединение с майнинг-пулом. Адреса могут выглядеть как обычный IP или домен. В списке соединений вы можете увидеть подозрительные имена вроде pool, stratum, xmr, mine, crypto — но не всегда.

Для проверки подойдут:

  • TCPView из Sysinternals — показывает активные соединения по процессам.
  • PowerShell — команда Get-NetTCPConnection | Select-Object OwningProcess,RemoteAddress,RemotePort,State.
  • Firewall-журналы — если нужно понять, куда система обращалась за последние часы.

Если процесс с высокой нагрузкой постоянно соединяется с неизвестным удалённым адресом на необычном порту, это сильный повод проверить файл антивирусом и посмотреть его путь.

Где майнер прячет автозапуск

Если вы просто завершили процесс и удалили файл, майнер может вернуться. Он мог прописать себя в автозагрузку, службу, планировщик заданий или WMI. Поэтому после поиска процесса нужно проверить места, откуда он стартует.

Проверьте:

  • вкладку «Автозагрузка приложений» в диспетчере задач;
  • папку автозагрузки: shell:startup;
  • службы Windows через services.msc;
  • планировщик заданий через taskschd.msc;
  • ключи реестра Run и RunOnce;
  • задачи WMI;
  • расширения браузеров, если майнер запускается через скрипт или рекламный компонент.

Для этого удобно использовать Autoruns из Sysinternals. В ней есть вкладки Logon, Scheduled Tasks, Services, Drivers, WMI. В настройках Autoruns включите проверку подписей и скройте записи Microsoft — так список станет намного понятнее.

Если запись подсвечена жёлтым или розовым, это не всегда означает вирус. Но если путь ведёт в AppData, Temp, ProgramData или файл не имеет подписи — проверяйте его в первую очередь.

Пошаговая схема удаления

Когда вы нашли подозрительный процесс, не начинайте с удаления папки. Лучше идти по порядку.

  1. Определите путь файла. В Process Explorer откройте свойства процесса и посмотрите Image или Path.
  2. Проверьте подпись. Если файла нет, подпись отсутствует или путь подозрительный — переходите к следующему шагу.
  3. Найдите автозапуск. Откройте Autoruns, отфильтруйте записи Microsoft и ищите путь к найденному файлу или похожее имя.
  4. Отключите автозапуск. В Autoruns снимите галочку с подозрительной записи. Не удаляйте сразу, если не уверены.
  5. Остановите процесс. В Process Explorer завершите подозрительный процесс. Если он сразу возвращается — ищите родительский процесс или службу.
  6. Проверьте файл антивирусом. Запустите полное сканирование Защитника Windows и дополнительное сканирование вторым средством, например Malwarebytes, Dr.Web CureIt!, ESET Online Scanner или Kaspersky Virus Removal Tool.
  7. Удалите файлы. После отключения автозапуска удалите файл из подозрительной папки. Если файл не удаляется — перезагрузитесь в безопасный режим.
  8. Проверьте систему повторно. Снова посмотрите процессы, сетевые соединения и автозапуск.

Если майнер был найден в системной папке и имеет подпись Microsoft, не удаляйте его вручную. Сначала проверьте хеш файла через VirusTotal или перепроверьте систему офлайн-сканером. Иногда майнер подменяет нормальный файл, но бывают и ложные тревоги.

Что делать, если майнер возвращается после удаления

Если процесс появляется снова, значит, остался источник запуска. Чаще всего это:

  • задача в планировщике с задержкой запуска;
  • служба с автоматическим стартом;
  • запись в реестре Run;
  • WMI-подписка;
  • заражённый установщик другой программы;
  • расширение браузера;
  • другой вредоносный компонент, который заново скачивает майнер.

В таком случае нужно искать не только сам майнер, но и «родителя». В Process Explorer смотрите дерево процессов: кто запустил подозрительный exe-файл. Если запуск идёт через powershell.exe, wscript.exe или rundll32.exe, найдите команду запуска и путь к скрипту.

Также проверьте временные папки:

  • C:\Users\Имя\AppData\Local\Temp
  • C:\Users\Имя\AppData\Roaming
  • C:\ProgramData
  • C:\Windows\Temp

Не удаляйте всё подряд из ProgramData или AppData. Но файлы с случайными именами, недавней датой создания и без подписи стоит проверить отдельно.

Какие инструменты использовать

Инструмент Зачем нужен Когда особенно полезен Ограничение
Диспетчер задач Windows Быстро увидеть нагрузку CPU, GPU, памяти и список процессов Когда компьютер тормозит прямо сейчас Не всегда показывает путь, подпись и автозапуск
Process Explorer Посмотреть путь, подпись, родительский процесс, команды запуска Когда нужно понять, что за процесс грузит систему Требует внимательности: системные процессы тоже могут быть легитимными
Autoruns Найти автозагрузку, службы, задачи, WMI и записи реестра Когда майнер возвращается после удаления Много записей, легко удалить нужное, если действовать без разбора
TCPView Показать активные сетевые соединения по процессам Когда есть подозрение на соединение с майнинг-пулом Не все соединения очевидны, адреса могут маскироваться
Microsoft Defender Offline Проверить систему до загрузки Windows Когда обычный антивирус не справляется Проверка занимает время и требует перезагрузки
Второй сканер: Malwarebytes, Dr.Web CureIt!, ESET Online Scanner, Kaspersky Virus Removal Tool Дополнительно найти вредоносные компоненты Когда Защитник ничего не нашёл, но симптомы остались Не стоит держать несколько антивирусов постоянно включёнными одновременно

Что выбрать в зависимости от ситуации

Если компьютер просто шумит и тормозит, но явных подозрительных процессов нет.
Начните с диспетчера задач: посмотрите CPU и GPU. Затем проверьте процессы в Process Explorer. Если нагрузка исчезает при открытии антивируса или диспетчера, ищите автозапуск и планировщик заданий.

Если вы видите процесс с высокой нагрузкой и странным путём.
Не удаляйте сразу. Скопируйте путь, проверьте файл через антивирус, найдите автозапуск в Autoruns, отключите запись, затем завершите процесс и удалите файл.

Если файл не удаляется.
Перезагрузитесь в безопасный режим и попробуйте снова. Если не помогает — используйте Microsoft Defender Offline или загрузочный антивирусный диск.

Если майнер возвращается после перезагрузки.
Значит, остался источник запуска. Проверяйте планировщик заданий, службы, WMI, реестр Run/RunOnce и расширения браузеров. В этом случае Autoruns полезнее, чем ручное удаление файлов.

Если это рабочий компьютер с важными данными.
Лучше не экспериментировать долго. Отключите от сети, сообщите ответственному специалисту и сохраните логи. На рабочих машинах майнер может быть частью более серьёзного заражения.

Если на компьютере есть кошельки, seed-фразы или доступы к биржам.
После очистки смените пароли с чистого устройства, проверьте расширения браузеров и не вводите seed-фразы на этом компьютере, пока система не будет полностью проверена.

Частые ошибки при удалении майнеров

  • Удалять процесс из диспетчера задач и считать, что всё готово. Майнер часто возвращается из автозагрузки.
  • Ориентироваться только на имя процесса. svchost.exe может быть нормальным, а файл с именем chrome-update.exe — вредоносным.
  • Чистить реестр «для профилактики». Это может сломать запуск программ и не убрать майнер.
  • Удалять всё из AppData и ProgramData. Там лежат и нормальные настройки приложений.
  • Ставить несколько антивирусов одновременно. Они могут конфликтовать и тормозить систему.
  • Игнорировать планировщик заданий. Очень частый способ автозапуска у майнеров.
  • Не проверять браузерные расширения. Иногда майнер или загрузчик живёт именно там.
  • Скачивать «ускорители» и «чистильщики» с сомнительных сайтов. Так можно получить ещё один вредоносный компонент.

Как лучше сделать после очистки

После удаления майнера нужно не только радоваться, что процесс исчез. Нужно закрыть путь, через который он попал в систему.

Что сделать:

  • Обновить Windows до актуальных исправлений.
  • Проверить установленные программы и удалить всё, что ставили незадолго до появления проблемы.
  • Проверить расширения браузеров и убрать неизвестные.
  • Включить защиту в реальном времени и облачную защиту Защитника Windows.
  • Ограничить автозапуск лишних программ.
  • Не запускать установщики из Telegram, почты, торрентов и сомнительных форумов без проверки.
  • Периодически смотреть нагрузку в простое: если видеокарта или процессор постоянно заняты без причины, это повод снова проверить систему.

Если вы часто устанавливаете программы из ненадёжных источников, имеет смысл хотя бы раз в месяц запускать дополнительное сканирование вторым сканером. Не держите его постоянно включённым — достаточно периодической проверки.

Когда лучше переустановить Windows

Полная переустановка — не первый шаг. Но иногда это самый честный вариант.

Переустановка разумна, если:

  • майнер возвращается даже после проверки автозагрузки, служб, WMI и офлайн-сканирования;
  • в системе найдено несколько разных вредоносных компонентов;
  • есть подозрение на доступ злоумышленника к компьютеру;
  • на устройстве были кошельки, приватные ключи или важные рабочие доступы;
  • система ведёт себя странно после очистки: появляются новые процессы, отключается защита, меняются настройки.

Если переустанавливаете Windows, лучше сделать чистую установку с форматированием системного раздела, а не просто «обновить» систему поверх старой. Перед этим сохраните личные файлы, но не переносите обратно старые исполняемые файлы и сомнительные архивы.

Короткий порядок действий, если нужно быстро

Если не хочется разбираться глубоко, действуйте так:

  1. Откройте диспетчер задач и посмотрите, что грузит CPU или GPU.
  2. Скачайте Process Explorer и проверьте путь, подпись и родительский процесс подозрительной нагрузки.
  3. Откройте Autoruns, скройте записи Microsoft и найдите автозапуск этого файла.
  4. Отключите подозрительную запись, завершите процесс и удалите файл.
  5. Запустите полное сканирование Защитника Windows.
  6. Дополнительно проверьте систему вторым сканером.
  7. Проверьте планировщик заданий, службы, WMI и расширения браузеров.
  8. Если майнер возвращается — используйте Microsoft Defender Offline или чистую переустановку Windows.

Итог

Криптомайнер в процессах Windows ищут не по одному названию, а по совокупности признаков: высокая нагрузка в простое, странный путь файла, отсутствие подписи, подозрительный родительский процесс, сетевые соединения и автозапуск. Самый надёжный набор для проверки — Process Explorer, Autoruns, TCPView, Защитник Windows и один дополнительный сканер.

Главная задача — убрать не только процесс, но и источник его запуска. Если майнер возвращается, почти всегда виноват планировщик заданий, служба, WMI, реестр или заражённый установщик. Если после очистки остаются странные процессы или были затронуты кошельки и важные доступы, безопаснее делать чистую переустановку системы и менять пароли с другого устройства.

Оцените статью
PEFile — Безопасность и технологии простым языком