Bitcoin Forum

Сегодня хотел бы поговорить немного о безопасности.

Хочу предупредить, что я не сис. админ, а простой пользователь ПК.

Много читал статей на тему скрытого майнинга с использованием мощностей ПК. Никогда бы не подумал, что такое может произойти со мной, но оказывается это действительно масштабное явление.

Причины:

1. ПК не завершал процесс завершения работы. Пытался решить эту проблему настройкой usb-контроллеров, настройкой электропитания, настройкой автозагрузки, поиска ошибки в журналах, чуть не дошел до обнуления загрузки bios.

2. Греется вентилятор видеокарты. Кажется видюха сейчас просто расплавится (особенно это заметно на ноутбуках). Открываете диспетчер задач, смотрите ЦП процессов, чаще всего большую мощность выдают regsvr32.exe и conhost.exe, который отправляет исходящий трафик.

3. Пропала recaptcha. Странно, но может на это повлияли и другие вредоносные ПО, но у меня вообще пропала каптча.

Теперь решение проблемы.

1. Я пробовал решить проблемы технически, настройкой систем и приложений. Не помогло.

2. Затем я перешел к серьезным методам. Создал загрузочную usb Dr. Web, проверил на вирусы, удалил трояны, рекламеры и майнеры. Думал все норм. Но помогло только до первой перезагрузки.

3. Самым эффективным оказалась установка https://ru.malwarebytes.com/premium/. После проверки и отправки вирусов в карантин. Все стало работать идеально. У проги есть бесплатный пробный период на 14 дней. После буду искать новый антивирус.

4. Так же читал на форуме, можно использовать расширение на Chrome NoCoin, но сам еще не устанавливал.

Может кому пригодится, особенно новичкам.

Кто знает еще какие способы безопасности, отпишите.

КЛЮЧИ от 06.03.2018:

ВНИМАНИЕ! Данные ключи могу не работать проверяйте сами!
ID4VE52: Key:M6CW-2NTV-KV4R-4NE8
ID:4CU15 Key:XFRK-5UVE-RHHV-WTGV
ID:8MQ04 Key:BEQM-KEV6-JYRF-Y9NA
ID:5CD47 Key:0E3B-AUT4-0232-4Q9J
ID:4RQ30 Key:TDWC-AKK5-8NG8-4DMK
ID:2LF73 Key:CWGE-625W-EJYQ-1XTX
ID:8KI45 Key:7KK9-21JL-H4E4-EMLQ
ID:3SW45 Key:2DT0-J350-YBRL-5B0M
ID:1LU67 Key:EEX1-6LDF-24WK-N5RH
ID:5KX89 Key:D4JP-QXK4-CFA1-AEMR
ID:3MP67 Key:QVTR-DJGR-E650-Q3FD
ID:5FD71 Key:KFWN-AQL9-Q8T0-RH7G
ID:0MG44 Key:68KH-V711-N72Q-UW3L
ID:3NW25 Key:8TLJ-VNAJ-UK2R-6T18

ВНИМАНИЕ! Данные ключи могу не работать проверяйте сами!
ID:5QP83 Key:G513-WGBV-G36R-739L
ID:5CD47 Key:0E3B-AUT4-0232-4Q9J
ID:3MP67 Key:QVTR-DJGR-E650-Q3FD
ID:2QL51 Key:PXJK-HND5-AGNF-W2NV
ID:3NW25 Key:8TLJ-VNAJ-UK2R-6T18
ID:4CU15 Key:XFRK-5UVE-RHHV-WTGV
ID:1LU67 Key:EEX1-6LDF-24WK-N5RH
ID:5OZ89 Key:32MP-483G-L8MJ-F893
ID:4NB22 Key:JB2Y-UTD8-MVHU-2ECP
ID:2AO48 Key:HTRE-HM13-XEE0-1JX9
ID:4RQ30 Key:TDWC-AKK5-8NG8-4DMK
ID:8AK20 Key:A60B-5R6E-E8L3-AL4H
ID:4WP82 Key:CMG5-177V-PAC1-L3NV
ID:9SJ23 Key:6106-PKQH-RHQ9-2NJF
ID:2FW90 Key:2DNL-AGG2-8NLR-D6C6

Небольшое уточнение: Malwarebytes, после окончания пробного периода по прежнему остается работоспособным антивирусом, ручное обновление и сканирование системы продолжат работать в обычном режиме. Отключается лишь проактивная защита и некоторые автоматические плюшки, переводя программу так сказать на "Ручное управление". Поэтому даже после окончания премиума его по прежнему можно использовать.

Да, сегодня закончилась пробная версия, а программа работает, только всплывает окно о покупке и обновлении.
Сегодня нашел ключи, правда они от 06.03.2018 и некоторые могут не работать, но есть еще много ресурсов где их можно достать.

Там ничего не указано про обновления, по истечении пробного периода софт будет обновляться? Новые вирусы и способы обхода появляются ежедневно.

Есть важный момент. Скрытый майнер может блокировать запуск штатного диспетчера задач windows или останавливать майнинг при его запуске и возобновлять после закрытия. Таким образом скрывая свое присутствие в системе и вводя пользователя в недоумение, почему компьютер тормозит, а в диспетчере задач все в норме.
Помочь в этой ситуации может альтернативный диспетчер задач, например Process Explorer (https://technet.microsoft.com/ru-ru/bb896653.aspx) или еще какой-нибудь.

Думал комп взорвется от постоянно раскрученной видюхи, хотя стоит Касперский и антивирус от ВК (помогал много раз), но они ничего не смогли найти, теперь все ровненько работает, теперь буду больше заморачиваться с защитой.

Да, согласен, но даже если майнер не скрывается я бы не понял, в чем причина. У меня грузился на 90% regsvr32.exe, отвечаюший вроде за исходящий траффик или что-то такое, если бы грузился какой-нибудь процесс с именем AMDJEI.exe я бы подумал, что это программа просто грузит.

Еще один вариант решения проблемы, на случай если вышеперечисленные манипуляции не помогли, ну или просто не хочется с ними заморачиваться и ставить различный сторонний софт - откатить систему к точке восстановления, на время создания которой все было в порядке.
Откат к точке восстановления не уничтожит ваших файлов, исчезнет лишь установленный, за время следующее после точки, софт и реестр ОС вернется в состояние актуальное точке восстановления.

да уже чуть ли не кад 2й сайт ставит скрытый майнер - хотят конечно это все в белую на правах рекламы перевести но когда это еще будет... а иос интересно меньше подвержен или как? кстати за посл год только на нем неск млн баксов подняли хотя кахалось бы мощности то смешные вроде))

Слышал, что пираты вшивают скрытые майнеры во взломанные игры. И ты такой думаешь: вот я красавчик, поиграю в новую игрульку не заплатив. И не подозреваешь, что на тебе "красавчике" зарабатывает пират

Никто не в курсе, такое было когда-нибудь замечено на Mac?

Не знаю, я лично использую антивирус Аваст и ДР. Веб. Курреит. Все отлично работает и на бесплатной основе.
Не нужно ничего активировать и подбирать ключи, для меня это самый удобный вариант.

У меня ЦП на нуле а память на красном работает хотя не одна программа не открыта, бездействие системы 99% в диспетчере задач,  доктор вебом гонял не чего не находит, поставил No Coin на хром всё также , поставлю прогу что выше рекомендовали, а может и не в майнере дело конечно но кто же  память ест, как понять?

у меня тоже проц 2% а память 88% уже устал ответ искать в нете
просто не обращаю внимания

Периодически  лучше проводить сканирование и удаление вероятных угроз в безопасном режиме, запустив следующие антивирусные утилиты, предварительно скачанные в портативном варианте:

Web CureIt! (качаем исключительно свежую версию с оф.сайта): https://free.drweb.ru/cureit
Kaspersky Virus Removal Tool: https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool
COMODO Cleaning Essentials: https://ru.comodo.com/software/endpoint/cleaning_essentials.php
AdwCleaner: https://www.malwarebytes.com/adwcleaner

Для браузера можно установить Unblock origin: https://www.ublock.org

Также можно получить бесплатную лицензию Bitdefender Total Security 2018 на 3 месяца для защиты любых 5 ваших устройств (комплексный антивирус "все-в-одном") (сам поставил вместо Каспера): https://www.bitdefender.com/site/Facebook/redFreeDownload

Скрытые майнеры действительно серьезная проблема, о которой простой пользователь, незнакомый с криптовалютой, даже может не подозревать и просто идет и переустанавливает Windows.

Скрытые майнеры отслеживаются до безобразия просто.
Майнер на процессоре отслеживается элементарно в диспетчере задач во вкладке процессы ( не забываем нажать кнопку отображать процессы всех пользователей).
Если вам таки сломали диспетчер поможет утилита ProcessExplorer она отображает какой именно процесс и на какой узел вашей системы даёт нагрузку.
p.s Майнинг на жестких дисках еще не придумали если утилита покажет что диск постоянно нагружен на 100 то велика вероятность что вашему жесткому осталось недолго.
p.p.s Опять же из утилиты как и из диспетчера можно открыть расположение файла который грузит систему - затем прибить процесс - файл удалить.

Более продвинутые скрытые майнеры завершают свою работу при открытии диспетчера задач или популярных аналогах. Соответственно после закрытия диспетчера они продолжают свою работу. Опять же не факт, что майнер будет грузить ваше железо на 100%, грамотные создатели ставят ограничение. Так же майнер может менять свою скорость в зависимости от запущенных программ. Например при открытии игры которая требовательна к ресурсам ПК майнер может полностью прекратить свою работу.

На данный момент хакеры делают майнеры практически не заметными для пользователя.

Словил я было подобный майнер, удалить в ручную и антивирусами не удавалось. Вычислил почту, на которою майнер работал, самое интересное, что мне с нее ответили)) предложили полную переустановку системы. Но вышел я из ситуации при помощи аваста, который удалил полностью данный мйнер, ну и по пути часть нужных мне программ.


Совсем не новое, достаточно набрать запрос в гугле, вам выскочит куча продавцов продающих такие майнеры и куча информации по его созданию.
Простенький скрытый майнер который прописывается в реестр для автозапуска и с тихим запуском без окон программы сделать способен каждый, для этого даже не надо разбираться в программировании. Куча пошаговых уроков на всех языках находиться в ютубе.
Я не в коем случае не призываю создавать такие программы, но нужно знать своего врага в лицо и понимать, что любой школьник может сделать майнер и склеить его с любым файлом. Чтобы избежать заражения проверяйте файлы антивирусом, а подозрительные при острой необходимости запускайте на виртуальных машинах.
  Учитывайте, что криптовалюта сейчас находится на пике своей популярность, и у тех кто добывает ее честным путем и у тех кто пытается добыть ее ресурсами вашего компьютера.
 

Да, Antimalware отлично помогает, а вот стандартные антивирусы что-то не очень

Вот есть тема - вроде как скрытый, но чтоб скрыть надо в антивируснике добавить исключение  ;D 
https://bitcointalk.org/index.php?topic=2789867.0
Где его искать вроде как тоже написано

Вот точно это оно, не очень еще ориентируюсь на форуме сам не видел данную тему, спасибо за конкретный пример, как раз в дополнение к сказанному мной выше. Обычно таки программки продают за очень хорошие деньги.
Но как показывает практика сложно не только написать майнер, но и распространить его. Нужно заражать компьютеры пачками, но где их взять? Тоже полезная информация знать откуда ждать нападения на вашу машину.

Более правильно будет сказать - нападение возможно только при физическом доступе к вашему ПК

Спасибо ребята, а то смотрю новая проблема стала жестко накалять комп... Вроде бы почистил, хоть комп вздохнул с облегчением!

Подтверждаю, тоже видел подобное. Из альтернативных дтспетчеров задач мне нравится ProcessHacker (https://processhacker.sourceforge.io/downloads.php) Пусть вас не смущает его относительно дурацкое название.

У меня была подобная проблема. В какой-то момент комп начал шуметь как пылесос и тормозить страшно. Майнят, подумал я и был прав. Что я сделал:
1. В ютубе посмотрел видео (найдете без проблем) о том как проверить, используют ли ваш компьютер для майнинга.
2. Антивирусом Malwarebytes почистил копм от этих червей. Причем некоторые в имени имели слова связанные с майнингом (хоть бы замаскировались для приличия).
3. Установил обновление для винды и вуаля. После перезагрузки комп работает как раньше. Не шумит и быстро.
Весь процесс занял час времени. Пока нашел, изучил, скачал, полечил. Успехов!

У меня в браузере стоит антимайнер.
Бывает зайдешь на сайт фильм посмотреть а вкладка так грузит комп что тормозит сам фильм  >:(

Скрытые майнеры лечатся довольно просто, я лечил их бесплатной версией касперского. А по поводу их вычисления в диспетчере задач, я бы не сказал, что это было просто, у меня маскировался под системный процесс винды. Но каспер его нашел и убил его. Внимательнее. А еще как вариант для чистки можно использовать, adwcleaner, тоже хорошо эту гадость находит и устраняет.

Могу посоветовать программу,чтобы понять,работает майнер,или же нет.Называется она MSI Afterburner.Она показывает на сколько загружена видеокарта.По этому критерию можно понять работает ли майнер.В диспетчере задач можно его легко найти.Часто всего он маскируется под какие-либо ".exe"
Майнер легко можно удалить антивирусом от траянов,и других вредоносных вирусов.

Сейчас не так-то просто найти скрытый майнер на своем ПК. Мало того, что он хорошо маскируется под системные процессы, так ещё и настраивается под нагрузку компа. Его можно настроить на 10% когда вы например работаете за компом или играете, а когда комп просто бездействует, майнер нагружается на 100%. Хозяин такого майнера может легко останавливать, обновлять, запускать свой майнер на вашем компе. А ещё хуже всего, если майнер скреплен со стиллером. Вот тогда все логи с вашего компа будут отправляться хозяину.

Я коспарем проверял по два раза неделю назад, но ничего не нашло. Хотя у меня рили был майнер. Так что устанавливайте так же новые программные обеспечения своей операционной системы. Винда 10 все решила.

Тут небольшая ремарка нужна - 10 ка сама по себе отправляет информацию о пользователе куда надо и куда ненадо, так что с ней тоже нужно быть поаккуратней.
Ну и не забывать про магазин - оттуда по аналогии с гуглемаркетом тоже можно затянуть под видом обновы.

Как бы еще одно подтверждение, что с криптой лучше работать на отдельном компе, не устанавливая на него всякие непонятные приложения и скаченные игры, просмотрщики, загрузчики. Ну и конечно антивирус, я был просто уверен что все кто работает с криптой имеют оплаченный (так или иначе) антивирус.

Необязательно на отдельном компе, просто соблюдать элементарные правила безопасности и быть внимательным при работе.

тоже пользуюсь этой прогой года два уже

майнинг еще актуален? и асики дорого стоят

Из недавних наблюдений - возможно неправ но тем не менее думаю не лишним будет предупредить.
Если кто пользуется антивирусом 360 total security - процесс 360qhsafetray грузит процессор 10-15%
Наблюдение проводил в многопользовательском режиме - 5 пользователей загрузка процессора 100% - при этом происходит активный обмен по сети (судя по логам с серверами 360 - возможно используются как прокси) 

Так авирь не майнер, просто он на лету анализирует весь трафик а это естественно кушает ресурсы.

В том то и дело что ресурсы ест не служба антивиря и не фаерволл - а вроде как значек в трее,если его прибить или запретить правами то все ок

Проверял компьютер постоянно доктором веб, плюс стандартный антивирус стоит, думал все нормально, но удивился когда malwarebytes нашел 343 угрозы.