вирус под прицелом

Как удалить вирус engine.exe?

Вирус engine.exe — троянец. Скрытно активирует на компьютере жертвы биткойн майнер — приложение, решающее сложные математические задачи с целью получения криптовалюты. А затем полученные результаты отправляет через интернет-канал злоумышленникам или на сторонний спецресурс, но опять же, с реквизитами своих «хозяев». Другими словами, эксплуатирует ресурсы инфицированного ПК (оперативную память, вычислительные возможности видеокарты) и «добывает» деньги, зарабатывая за чужой счёт. Пользователь, а точнее, его машина, поневоле становится майнером.

Заражение и симптомы

Довольно часто engine.exe проникает в Windows в ходе установки взломанных игр. Недобросовестные релизёры, или распространители, «бесплатного продукта», желающие дополнительно обогатиться, настоятельно рекомендуют отключать антивирус, чтобы инсталляция прошла успешно. Подчинившиеся этому совету собственноручно пропускают зловреда.

Четыре признака присутствия engine.exe в ОС:

  1. Без запуска каких-либо приложений наблюдается загрузка оперативной памяти и процессора на 80-99%.
  2. Активно используется сетевое соединение (интернет-трафик) без явных подключений установленных доверенных программ.
  3. Штатные функции Windows и приложения очень медленно запускаются и работают — ПК «тормозит».
  4. В диспетчере задач ОС появляется процесс под названием engine.exe *32 (иногда в нескольких экземплярах).

Процедура удаления

1. Кликните «Пуск».

2. В поле поиска напечатайте taskmgr.

запуск taskmgr

3. В диспетчере задач откройте вкладку «Процессы».

4. Найдите в списке вирусный процесс с именем engine.

Внимание! У зловреда может быть другое название. При анализе дополнительно обращайте внимание на цифровую подпись объектов (колонка «Описание»). А также на уровень потребления ресурсов (колонка ЦП). Завышенные показания (более 70%) — явный признак причастности процесса к вирусу.

5. Кликните по исследуемому имени образа (объекту) правой кнопкой.

активный вирусный процесс

6. В контекстном меню нажмите раздел «Свойства».

7. На вкладке «Общие» (окно свойств), в графе «Расположение», скопируйте в блокнот или запомните путь к папке вирусного приложения.

расположение файла

8. Перезагрузите Windows в безопасном режиме.

9. Откройте директорию engine, скопированную из его свойств.

Примечание. В большинстве случаев он находится по адресу: диск С → Пользователи → [имя пользователя] → AppData → Roaming → [папка зловреда]. Название папки варьируется: известные модификации — x11, x13.

директория Roaming

10. Перейдите в директорию Roaming (кликните вверху окна, в строке пути, по её названию).

11. Удалите файл cppredistx86.exe и папку с вирусом.

12. Закройте окно и нажмите «Win+R».

запуск regedit

13. В панели «Выполнить» введите regedit и нажмите «OK».

редактор реестра

14. В редакторе реестра откройте: HKEY_CURRENT_USER → Software → Microsoft → Windows → CurrentVersion → Run.

15. В «ветке» Run (список ключей в соседнем блоке) выполните удаление записи с параметром «Microsoft Visual C++ 2010». Это замаскированный под системный пакет модуль, выполняющий автозагрузку engine при запуске ПК. Используйте штатную функцию: клик правой кнопкой → «Удалить».

16. Перезагрузите ОС в обычном рабочем режиме.

Профилактика

После процедуры очистки в обязательном порядке просканируйте все носители основным антивирусом, предварительно обновив его базы, или дополнительными лечащими утилитами — Dr.Web CureIt!, MBAM (Malwarebytes Anti-Malware), Kaspersky Virus Removal Tool.

Комментариев еще нет.

Оставить комментарий