[ Закрыто ] Как избавиться от Win32/CoinMiner.DC

RSS
В случайное время вылезает троян Win32/CoinMiner.DC
Оперативная память = explorer.exe

Ответы

Цитата
Suprenok Ya написал:
С начало детект майна был explorer.exeИногда Steam.exe, только когда его запускал.
вполне возможно, что первоначально не было сигнатуры, которая бы детектировала майнер в модулях steam,
а вот в процессах, когда майнер внедряется в пространство explorer.exe антивир его обнаруживает.
------------
если после перезагрузки системы майнер не обнаруживается в процессах, значит таки он инжектируется в процесс explorer после запуска steam.
Я бы удалил это: C:\WINDOWS\SYSTEM32\DRIVERS\NTKNSV.SYS
+
Драйвера от: Tencent
Изменено: RP55 RP55 - 24.04.2018 15:27:39
Цитата
RP55 RP55 написал:
Драйвера от: Tencent

И какой вывод из этих действий?
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %Sys32%\DRIVERS\NTKNSV.SYS
deltmp
restart
;---------command-block---------
delref %Sys32%\TESSAFE.SYS
delref %Sys32%\TESMON.SYS
delref %Sys32%\DRIVERS\QMTGPNETFLOW764.SYS
delref %Sys32%\DRIVERS\NTKNSV.SYS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref CD %WINDIR%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF & CD %WINDIR%\MICROSOFT.NET\FRAMEWORK\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF
delall %SystemRoot%\TEMP\GUR5ABC.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\19C086AE5A4EBAC76F8D0C4EBE300622\WINDOWS6.1-KB3142024-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\09E91CAE77EF2C2AE9DDDB3A22DEAFDA\WINDOWS6.1-KB3159398-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F46AF61C9A4E9F4418740BAF17A28896\WINDOWS6.1-KB3126587-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\522B2906F9271FF46967FBEA6C9888AF\4E813955262D8E9D497A10018C36299AC02FCE5E
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9444312B75385C6C2458BFC75B03DEAE\WINDOWS6.1-KB3184143-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\834EEA104C5763659E880F9934033141\DDECB05A9DB2654AD29577B363F5F8E040F59012
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8430AD468CD0047CA48B481C21CE22A8\WINDOWS6.1-KB3139914-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AEE4B8CEC2253CABF425584F76A2A3A7\WINDOWS6.1-KB3110329-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE457C19DF5F72F07A1AFEC4DFDC3A59\WINDOWS6.1-KB3109560-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BDE2FAEF4D81A19B7495A4665EBBCFB1\WINDOWS6.1-KB3161958-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8339CC48B8C7325BA9F6177B7225F17E\WINDOWS6.1-KB3150220-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\56A6FD2DBD6FA8C67A31BFB066FAC754\WINDOWS6.1-KB3080149-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D4CF91FB191BAF8B908EAFA58B72F18F\WINDOWS6.1-KB3138910-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5B5D8509733E1A53593750F8DF5E7118\WINDOWS6.1-KB3139398-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C1338134832FFEBEDD7293123A67637B\WINDOWS6.1-KB3133977-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\36A4DE3FFEE23A3456F25F1566A9622E\39D044F0752B83C2485C06D84001DD5B475D25BF
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\75418C5F7E286D676AB073754B40A034\1CF6A3B0DA21DB47232EE6A2CEC200B971744DE8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\66E8CD8180CE486E2EFA73D7051B1136\7D08944484D693E51ABAF9C37EC5B54019309E22
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AA53D9EF6E602AF3F959823597F43BB9\7DE10B1AFBBD69CB5B4B8E97827396DEC9BC3E0C
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\890E46BA84C288AA791BB13432AAB0A4\F9A7217920CCA209FC09466C889DF6D2A9DE05D9
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BFE740F76D281C7131E91C7FBD8F5829\DEF29700C99F3C44CD5DBE031238B2E02B1901B7
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B4BAE0F49C394A113C02857B05828931\0D58B985BB2A96A98433F808C63DA5F339FDF6E9
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C9B5AFBA7D9B01C9A5FA087BB3B08B2C\7BAB885C5FAC649C3A4BFF8F5F8EBC35298B85AC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\959D452DF25941D32DBD47DB9829315F\904BD98E3B4A99FC29ACDDEEB38A945232078D6F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\128B049EE87708F803A6D104FB7B60B7\WINDOWS6.1-KB2970228-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6A2947AC92E2FC6432DF26960F9808FC\WINDOWS6.1-KB3138612-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FA7D32DBBADDD42CD2F57721758E6A19\470640AA4BB7DB8E69196B5EDB0010933569E98D
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6157C3E24AF78FB1696896854DE8B666\WINDOWS6.1-KB3068708-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6D25187B81A248F464B4686B1224DABE\WINDOWS6.1-KB3115858-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B70311D9268F06C87C38D17C3E5DF325\FFDE18261E10F8DDD3D87705D5F6B0FA886B8BEC-1
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A05AB670E03935261D2FC89A5020B963\WINDOWS6.1-KB3127220-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E857E5A0303D672B0A31DA3DB7CB6E0E\2F98A8F7FA876A339F16EFDE8389F71C858FE8C7-1
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\NPFOXITPHANTOMPDFPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\CREATOR\FXC_PROXYPROCESS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\FOXITREADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\FOXITPHANTOMPDF.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\USERS\SUPRENOK\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER.EXE
apply





+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
RP55 RP55, Если это поможет как то отчистки оперативной памяти.
Выполните скрипт из моего предыдущего сообщения.
Цитата
RP55 RP55 написал:
Выполните скрипт из моего предыдущего сообщения.
Что дальше?
предыдущий скан оперативной памяти сделали после запуска steam или после перезагрузки системы без запуска steam?
помечайте эти вещи, чтобы мы не повторяли одни и те же вопросы по нескольку раз.

надо четко определить закономерность. когда (при каких условиях и после запуска каких программ)  появляется инжект майнера в процесс explorer-а.
------------
и да, после завершения сканирования наверняка вам будет предложено выполнить определенные действия по очистке угрозы.
Цитата
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа - выбор действия отложен до завершения сканирования

что будет происходить после очистки? если запустить повторный скан оперативной памяти. найдется майнер в памяти или нет.
1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
Цитата
santy написал:
предыдущий скан оперативной памяти сделали после запуска steam или после перезагрузки системы без запуска steam?
помечайте эти вещи, чтобы мы не повторяли одни и те же вопросы по нескольку раз.

надо четко определить закономерность. когда (при каких условиях и после запуска каких программ)  появляется инжект майнера в процесс explorer-а.
------------
и да, после завершения сканирования наверняка вам будет предложено выполнить определенные действия по очистке угрозы.
Цитата
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа - выбор действия отложен до завершения сканирования
что будет происходить после очистки? если запустить повторный скан оперативной памяти. найдется майнер в памяти или нет.
После переустановки Steam.exe пока что антивирус не жаловался.
Когда проверяю антивирусом оперативную память, всё так же без изменений
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа  
Читают тему (гостей: 1)