Скрытый майнер редко ведет себя как классический вирус: не блокирует экран, не показывает требование выкупа и может неделями выдавать себя только шумом вентиляторов. Суть неприятная: программа использует процессор, видеокарту, память и электричество владельца компьютера, чтобы добывать криптовалюту для чужого кошелька. Поэтому искать нужно не один файл, а всю цепочку: нагрузку, процесс, путь, автозапуск и причину появления. Сейчас расскажу обо всем по порядку.
Что такое майнер и как он работает
Майнером называют программу для добычи криптовалюты. В нормальном варианте пользователь сам выбирает приложение, пул, кошелек и нагрузку. Скрытый майнер запускается без согласия владельца, считает задачи для чужого кошелька и старается не привлекать внимание. Из-за этого компьютер шумит, греется, быстрее разряжается и тормозит даже без игры, видеоредактора или другого тяжелого софта.
Программа подключается к mining pool, получает задачи, нагружает CPU или GPU и отправляет результат обратно. Для Monero часто используют CPU, поэтому заражение возможно даже на офисном ноутбуке. XMRig сам по себе легален, но его часто запускают скрытно, переименовывают и настраивают на чужой кошелек.
Раньше заметной проблемой был браузерный майнинг: сайт или рекламный скрипт нагружал процессор через вкладку. Сейчас чаще встречаются зараженные установщики, пиратские сборки, фальшивые обновления, расширения браузера, задачи Windows и скрипты Linux. Некоторые майнеры снижают нагрузку при открытии «Диспетчера задач», поэтому быстрая проверка может обмануть.
- Легальный майнер: установлен владельцем компьютера, имеет понятные настройки, пул и кошелек.
- Скрытый майнер: запускается без разрешения и отправляет прибыль другому человеку.
- Браузерный майнинг: связан с вкладкой, сайтом или расширением.
- Системный майнер: живет в службе Windows, LaunchAgent macOS, systemd unit или cron-задании Linux.
Первые признаки и быстрая проверка
Высокая загрузка CPU сама по себе не доказывает заражение: Windows может обновляться, macOS индексировать файлы, Linux собирать пакет, браузер синхронизировать вкладки. Подозрение появляется, когда нагрузка держится долго, процесс неизвестен, путь к файлу странный, а после перезагрузки все повторяется. GPU тоже стоит проверить: видеокарта не должна быть постоянно занята без игры, монтажа или нейросетевого приложения.
На Windows откройте «Диспетчер задач» через Ctrl + Shift + Esc и отсортируйте процессы по CPU, GPU и «Энергопотреблению». По подозрительному процессу нажмите правой кнопкой и выберите Открыть расположение файла. Системные компоненты обычно находятся в C:WindowsSystem32, обычные программы в Program Files. Файл из AppData, Temp или Downloads нужно проверять особенно внимательно.
На macOS откройте «Мониторинг системы» через Spotlight или «Программы» > «Утилиты». На вкладке CPU отсортируйте процессы по % CPU, на вкладке «Энергия» посмотрите расход энергии. В Linux начните с top, htop и ps aux -sort=-%cpu | head -20; для NVIDIA полезна nvidia-smi.
Если тормозит только браузер, проверьте расширения. В Chrome и Edge диспетчер задач обычно открывается через Shift + Esc, в Firefox можно использовать about:performance.
Windows, macOS и Linux: где искать закрепление
На Windows майнер чаще всего держится через автозагрузку, «Планировщик заданий», службу или папку пользователя. Проверьте «Параметры» > «Приложения» > «Установленные приложения» и «Параметры» > «Приложения» > «Автозагрузка». В «Библиотеке планировщика заданий» ищите задачи, которые запускают PowerShell, cmd, wscript или exe-файл из AppData и Temp.
Для глубокой проверки Windows пригодится Autoruns из Microsoft Sysinternals. Он показывает службы, scheduled tasks, драйверы и другие точки запуска. Его плюс, подробность. Минус, риск отключить нормальный компонент, если нажимать наугад. Для сканирования используйте «Безопасность Windows» > «Защита от вирусов и угроз» > «Параметры сканирования» > «Полное сканирование». Если майнер возвращается, запустите Microsoft Defender Offline.
На macOS проверьте «Системные настройки» > «Основные» > «Объекты входа и расширения». Уберите неизвестные элементы из раздела «Открывать при входе» и проверьте фоновые элементы. Затем откройте «Системные настройки» > «Основные» > «Управление устройством»: неизвестный профиль управления может менять сеть, сертификаты и разрешения.
Если процесс на Mac появляется после перезагрузки, смотрите ~/Library/LaunchAgents, /Library/LaunchAgents и /Library/LaunchDaemons. В plist-файлах важны ProgramArguments, путь к исполняемому файлу и имя разработчика. На рабочем Mac не удаляйте профили и агенты вслепую: там могут быть VPN, EDR или корпоративный агент.
В Linux проверьте процессы, systemd, cron и пользовательскую автозагрузку. Майнеры часто попадают через слабый SSH-пароль, открытый Docker API, уязвимый веб-сервис или случайный shell-скрипт. Минимальный набор команд: top, ps aux -sort=-%cpu | head -20, readlink -f /proc/PID/exe, systemctl -type=service -state=running, crontab -l.
Сравнение инструментов для поиска майнера
Встроенные средства удобны для первого осмотра, но не всегда показывают всю цепочку. «Диспетчер задач» и «Мониторинг системы» помогают найти нагрузку, Autoruns и systemctl показывают закрепление, антивирус ищет вредоносные файлы.
| Инструмент | Система | Сильная сторона | Где отстает |
|---|---|---|---|
| «Диспетчер задач» | Windows | Показывает CPU, GPU, сеть и автозагрузку | Не раскрывает все точки закрепления |
| Autoruns | Windows | Подробно показывает автозапуск и службы | Требует аккуратности |
| «Мониторинг системы» и «Объекты входа и расширения» | macOS | Показывают нагрузку, расход энергии и фоновый запуск | Не заменяют проверку LaunchAgents |
| top, htop, systemctl, cron | Linux | Дают прямой контроль над процессами и запуском | Требуют работы в терминале |
| ClamAV | Linux, Windows, macOS | Полезен для файловой проверки и серверов | Не заменяет расследование взлома |
Как удалить майнер и снизить риск возвращения
Удаление состоит из трех действий: остановить процесс, убрать файл и отключить механизм запуска. Если пропустить последний пункт, майнер вернется после перезагрузки. Если не закрыть причину заражения, он может вернуться уже под другим именем.
- Отключите интернет, если видите постоянные подозрительные соединения.
- Завершите процесс только после проверки пути к файлу.
- Удалите связанную программу через штатный раздел приложений или пакетный менеджер.
- Отключите задачу, службу, LaunchAgent, systemd unit, cron-задание или расширение браузера.
- Запустите полное сканирование и перезагрузите компьютер.
- Обновите систему, браузеры и драйверы видеокарты.
- Смените пароли, если заражение связано с сервером, SSH или правами администратора.
На сервере после удаления майнера проверьте пользователей, ~/.ssh/authorized_keys, открытые порты, Docker-контейнеры, журналы входа и веб-каталоги. Затем пересоздайте SSH-ключи и обновите пакеты.
FAQ
Можно ли удалить майнер одним антивирусом? Иногда да, если заражение простое. При закреплении через службу, cron, scheduled task или расширение браузера нужно убрать не только файл, но и механизм запуска.
Почему антивирус молчит? Майнер может использовать легальные компоненты: XMRig, PowerShell, bash, Python, Node.js, curl или systemd. Подозрительным становится скрытый запуск, чужой кошелек и закрепление без согласия пользователя.
Главная мысль: скрытый майнер ищют по цепочке: нагрузка, процесс, путь к файлу, автозапуск и причина появления. Такой порядок быстрее, чем хаотично удалять подозрительные файлы и надеяться, что компьютер сам придет в порядок.