Как найти и удалить скрытый криптодобытчик в папке AppData\Local\Temp

Представьте ситуацию: вы включаете компьютер, и вентилятор начинает выть, как турбина самолета при взлете. При этом вы не запускаете никаких тяжелых игр или программ видеомонтажа. Просто открыли браузер или вовсе оставили ПК в покое. Система тормозит, мышка подлагивает, а в Диспетчере задач какой-то непонятный процесс грузит видеокарту или процессор на 100%.

Скорее всего, ваш компьютер стал частью ботнета. На нем поселился скрытый майнер. И самое излюбленное место обитания таких вредоносных программ — папка AppData\Local\Temp. Это временное хранилище, куда системы и программы скидывают мусор, и куда пользователи редко заглядывают. Для вирусов это идеальный камуфляж.

Я не буду грузить вас теорией о том, как работает блокчейн. Давайте перейдем к делу. Я расскажу, как найти эту заразу, отличить её от легитимных временных файлов и безопасно удалить, чтобы компьютер снова работал тихо и быстро.

Почему именно папка Temp и как вирус туда попадает

Папка Temp (временные файлы) создана для того, чтобы программы могли хранить там данные, нужные только в момент работы. После перезагрузки или завершения программы эти файлы часто становятся не нужны. Проблема в том, что многие антивирусы и пользователи воспринимают эту папку как «мусорку», которую можно смело чистить, не боясь сломать систему.

Хакеры этим пользуются. Когда вы скачиваете взломанную игру, «кряк» для программы или открываете вложение в подозрительном письме, скрипт установки часто копирует тело майнера именно в C:\Users\ВашеИмя\AppData\Local\Temp.

Там он может называться как угодно: svchost.exe (подделка), update.exe, random_name.tmp или вообще не иметь расширения. Чтобы вирус запускался каждый раз вместе с Windows, он прописывает себя в реестр или в планировщик задач, указывая путь к этому файлу в папке Temp.

Главная опасность скрытых майнеров в том, что они умеют маскироваться. Некоторые из них отключаются, как только вы открываете Диспетчер задач, чтобы вы не увидели высокую нагрузку. Поэтому искать их нужно хитрее, чем просто глядя на список процессов.

Подготовка: инструменты для охоты

Прежде чем лезть в системные папки, нужно вооружиться. Стандартного Диспетчера задач Windows иногда недостаточно, так как продвинутые майнеры умеют от него прятаться. Вам понадобятся:

• Process Explorer (бесплатная утилита от Microsoft Sysinternals). Она показывает все процессы, даже скрытые, и подсвечивает те, у которых нет цифровой подписи.
• CCleaner или встроенная утилита очистки диска (для предварительной чистки мусора, чтобы проще было найти лишнее).
• Dr.Web CureIt! или Kaspersky Virus Removal Tool (одноразовые сканеры, которые не требуют установки и хорошо находят активных майнеров).

Скачайте Process Explorer с официального сайта Microsoft. Он портативный, установка не нужна — просто запустили и работаете.

Шаг 1: Визуальный поиск и первичная проверка

Самый простой способ начать — открыть саму папку. Но делать это нужно правильно, чтобы случайно не удалить что-то важное или, наоборот, запустить вирус кликом мыши.

1. Нажмите комбинацию клавиш Win + R на клавиатуре.
2. В появившемся окне введите команду: %localappdata%\Temp и нажмите Enter.
3. Откроется папка с кучей файлов и подпапок.

Теперь внимательно смотрим на список. Нас интересуют исполняемые файлы с расширениями .exe, .bat, .cmd, .vbs, .ps1. Временные файлы обычно имеют расширения .tmp, .log или вообще не имеют расширения.

Важно: Никогда не запускайте (не делайте двойной клик) файлы из этой папки, если не уверены на 100%, что это за программа. Если вирус еще не активен, вы его активируете собственноручно.

Отсортируйте файлы по дате изменения. Посмотрите, какие файлы появились или изменялись в то время, когда компьютер начал тормозить. Часто майнеры маскируются под системные обновления, называясь WindowsUpdate.exe или chrome_update.exe, но лежат они не в системных папках Windows, а здесь, в Temp.

Шаг 2: Охота с Process Explorer (самый надежный метод)

Если файл просто лежит в папке, он не опасен. Опасен процесс, который запущен в памяти. Как я уже говорил, обычный Диспетчер задач может быть обманут. Process Explorer видит глубже.

1. Запустите Process Explorer от имени администратора (правая кнопка мыши на файле -> Запуск от имени администратора).
2. В меню выберите Options -> Verify Image Signatures (Проверить подписи образов). Это критически важный шаг.
3. Программа начнет проверку. Через минуту-две столбец Company Name или Verified Signer заполнится данными.
4. Теперь ищите процессы, у которых в столбце подписи стоит Unable to verify (Не удалось проверить) или вообще пусто, при этом они потребляют ресурсы (CPU или GPU).
5. Наведите курсор на подозрительный процесс. Во всплывающей подсказке будет указан полный путь к файлу.

Если путь ведет в ...\AppData\Local\Temp\... и при этом у процесса нет подписи известного вендора (Microsoft, Google, Adobe и т.д.) — это на 99% майнер.

В Process Explorer можно нажать правой кнопкой на такой процесс и выбрать Kill Process. Это остановит майнер прямо сейчас. Но это не удалит его с диска. Он перезапустится при следующей загрузке.

Шаг 3: Удаление файла и чистка автозагрузки

Вы нашли процесс, убили его. Теперь нужно найти сам файл на диске и удалить его. В Process Explorer есть удобная функция: нажмите правой кнопкой на процесс -> Open File Location. Проводник откроет папку с выделенным вредоносным файлом.

Удалите этот файл. Если система пишет «Файл используется», значит, процесс не был убит до конца. Попробуйте перезагрузить компьютер в Безопасный режим (Safe Mode) и удалить файл оттуда. В безопасном режиме сторонние программы не запускаются, и вирус не сможет защитить себя.

Но удаление файла — это только полдела. Вирус прописал себя в автозагрузку. Если этого не исправить, при следующей перезагрузке он скачает себя снова или запустит копию.

Где искать следы автозапуска:

1. Диспетчер задач -> Автозагрузка. Посмотрите список. Ищите странные имена или программы с путем к папке Temp. Отключите всё подозрительное.
2. Планировщик заданий (Task Scheduler). Это любимое место майнеров. Нажмите Win + R, введите taskschd.msc. Пройдитесь по библиотеке планировщика. Ищите задачи, которые запускают .exe или .vbs файлы из папки Temp. Удалите такие задачи.
3. Реестр. Для продвинутых пользователей. Ветви HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Ищите пути к файлам в Temp и удаляйте соответствующие строки.

Таблица: Как отличить майнер от легитимного файла

В папке Temp могут лежать и нужные файлы, например, установщики обновлений браузеров или временные файлы установщиков Office. Как не перепутать?

Сценарии: что делать в вашей ситуации

Не все случаи одинаковы. Выберите свой сценарий:

Сценарий 1: «Я вижу странный процесс прямо сейчас»

Если компьютер тормозит в реальном времени:

1. Отключите интернет (выдерните кабель или выключите Wi-Fi). Это предотвратит передачу данных и скачивание новых модулей.
2. Используйте Process Explorer, чтобы убить процесс.
3. Удалите файл через «Открыть расположение».
4. Проверьте Планировщик заданий на наличие задач с этим файлом.
5. Перезагрузитесь и просканируйте систему антивирусом.

Сценарий 2: «Компьютер тормозит, но в процессах чисто»

Это значит, что майнер умеет прятаться (rootkit) или запускается только при простое системы.

1. Не пытайтесь ловить его в работающей системе.
2. Скачайте портативный сканер (Dr.Web CureIt! или Kaspersky Virus Removal Tool) на флешку с другого ПК.
3. Загрузите зараженный компьютер в Безопасный режим с поддержкой сети.
4. Запустите сканер с флешки и проведите полную проверку.
5. Вручную зайдите в папку %localappdata%\Temp и удалите всё содержимое (в безопасном режиме это безопасно, нужные файлы система создаст заново).

Сценарий 3: «Файл не удаляется, пишет «доступ запрещен»»

Вирус защитил себя от удаления.

1. Используйте утилиту Unlocker или IOBit Unlocker. Они позволяют разблокировать и удалить файлы, которые используются системой.
2. Либо, что надежнее, загрузитесь с LiveCD/USB (загрузочная флешка с антивирусом или просто Windows PE). В этой среде вирус не активен, и вы сможете удалить файл как обычный документ.

Частые ошибки при удалении

Пытаясь помочь компьютеру, пользователи часто делают только хуже. Избегайте этих ошибок:

• Удаление всей папки Temp через Shift+Delete без разбора. Хотя это кажется логичным, некоторые установщики могут хранить там важные данные до перезагрузки. Лучше удалять содержимое, а не саму папку, и делать это, когда не запущены тяжелые программы.
• Надежда только на штатный антивирус. Если майнер уже проник и работает, он мог отключить защиту вашего основного антивируса. Обязательно используйте сторонние одноразовые сканеры (CureIt, KVRT).
• Игнорирование Планировщика заданий. Вы удалили файл, но задача осталась. При перезагрузке система попытается запустить удаленный файл, выдаст ошибку, но вирус может использовать этот триггер, чтобы скачать себя заново из резервного источника.
• Попытка лечить «тяжелые» игры. Если майнер пришел с пиратской игрой, часто проще удалить игру целиком. «Вырезать» вирус из крякнутой игры сложно, он может быть внедрен глубоко в исполняемый файл игры.

Как лучше сделать: рекомендации практика

Если вы обнаружили майнер в папке Temp, действуйте по этому алгоритму для гарантированного результата:

1. Изоляция. Отключите интернет.
2. Остановка. Убейте процесс через Process Explorer.
3. Зачистка. Удалите файл и очистите папку Temp полностью (Win+R -> %temp% -> Ctrl+A -> Delete).
4. Поиск закладок. Проверьте Планировщик заданий и Реестр на наличие ссылок на удаленный файл.
5. Сканирование. Запустите Dr.Web CureIt! в безопасном режиме.
6. Смена паролей. Если майнер жил на компьютере долго, есть риск, что он мог перехватывать данные. После чистки смените пароли от почты и банков (с другого устройства, например, с телефона).

Итог

Папка AppData\Local\Temp — это не мифическое хранилище, а реальная угроза безопасности, если за ней не следить. Скрытые майнеры любят прятаться там из-за прав доступа и привычки пользователей игнорировать эту директорию.

Главное оружие против них — не паника, а правильные инструменты. Process Explorer для поиска процесса, Безопасный режим для удаления файлов и одноразовые антивирусные сканеры для подстраховки. Не надейтесь, что «само пройдет». Майнер не просто тормозит компьютер — он изнашивает ваше «железо» и ворует вашу электроэнергию. Найдите его, удалите и обязательно проверьте автозагрузку, чтобы не пустить врага обратно.

Информация в статье носит ознакомительный характер. Удаление системных файлов или Modification реестра может привести к нестабильной работе операционной системы. Если вы не уверены в своих действиях, обратитесь к квалифицированному специалисту по информационной безопасности. Автор не несет ответственности за возможные последствия, возникшие в результате применения описанных методов.