Вирус steam.exe - Форум технической поддержки ESET NOD32

Сообщений: 27

Баллов: 13

Регистрация: 30.07.2010

Размещено 28.12.2014 00:30:10

EAV-0116590000, ESET Smart Security 8.0.304.1, Windows 7 64
Периодически в диспетчере задач появляется процесс steam.exe (Bitcoin майнер так его называют), который к этой программе не относится и грузит процессор на 25%, а видеокарту на 100%.
При сканировании антивирус его не находит.
Хотелось бы избавиться от него и если это возможно, то занести в базу, чтоб впредь не было проблем от него.

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 28.12.2014 06:48:25

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 27

Баллов: 13

Регистрация: 30.07.2010

Размещено 28.12.2014 11:30:46

Вот.

Прикрепленные файлы

ART-PC_2014-12-28_11-23-45.7z (702.68 КБ)

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 28.12.2014 12:37:53

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.3 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\ART\APPDATA\ROAMING\MEDIA CENTER PROGRAMS\REVERSED\STEAM.EXE addsgn A7659219B9728B762FD6AEB164370795F0D8FC1EED07E087D04A203FBCDED084F645C39EC1B5FBD97E09611CAA1EE852A88DE8BBAA3A20BC78FE41AC2B1EE577 17 Win32/BitCoinMiner.BY [ESET-NOD32] hide %SystemDrive%\GAMES\FRAPS 3.5.99\UNINSTALL.EXE delall %SystemDrive%\USERS\ART\APPDATA\ROAMING\CPPREDISTX86.EXE ;------------------------autoscript--------------------------- chklst delvir delref XORVIUS. delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] deldirex %SystemDrive%\USERS\ART\APPDATA\ROAMING\MEDIA CENTER PROGRAMS\REVERSED ; OpenAL exec C:\Program Files (x86)\OpenAL\oalinst.exe" /U deltmp delnfr ;------------------------------------------------------------- czoo restart

Код

;uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ART\APPDATA\ROAMING\MEDIA CENTER PROGRAMS\REVERSED\STEAM.EXE
addsgn A7659219B9728B762FD6AEB164370795F0D8FC1EED07E087D04A203FBCDED084F645C39EC1B5FBD97E09611CAA1EE852A88DE8BBAA3A20BC78FE41AC2B1EE577 17 Win32/BitCoinMiner.BY [ESET-NOD32]

hide %SystemDrive%\GAMES\FRAPS 3.5.99\UNINSTALL.EXE
delall %SystemDrive%\USERS\ART\APPDATA\ROAMING\CPPREDISTX86.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref XORVIUS.

delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]

delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]

delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]

delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]

deldirex %SystemDrive%\USERS\ART\APPDATA\ROAMING\MEDIA CENTER PROGRAMS\REVERSED

; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 27

Баллов: 13

Регистрация: 30.07.2010

Размещено 28.12.2014 14:08:36

Скрипт выполнил.
"при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да" - такого запроса не выдавалось.
Перезагрузил. При запуске программы uVS больше этого процесса не отображается.
Почти никакая из программ не распознавала данный вирус - nod32 smart security, малваребайт и dr web cureit - все молчали, единственный кто обнаружил данный вирус ранее это hitman pro. Сейчас при сканировании hitman pro тоже молчит, значит всё ок по всей видимости.
Архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправил на оба вышеперечисленных адреса почты. Надеюсь и nod32 сможет его распознавать в будущем.
Спасибо!

Изменено: Артём Баев - 28.12.2014 14:10:00

Сообщений: 27

Баллов: 13

Регистрация: 30.07.2010

Размещено 28.12.2014 14:31:32

Архив отправил как есть, пароля никакого не добавлял, но например , при открытии в архиве текстового файла, запрашивает пароль. В общем, не уверен, но вроде бы всё сделал по вашим инструкциям.)

Сообщений: 17963

Баллов: 14370

Регистрация: 16.03.2010

Размещено 28.12.2014 14:55:24

если проблема решена,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Сообщений: 27

Баллов: 13

Регистрация: 30.07.2010

Размещено 28.12.2014 15:28:50

Ок. Спасибо.

[ Закрыто ] Вирус steam.exe , Грузит процессор и видеокарту