Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Как избавиться от Win32/CoinMiner.DC

1 2 3 След.
RSS
 
Suprenok Ya
Suprenok Ya
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.04.2018
Размещено 24.04.2018 06:12:09
В случайное время вылезает троян Win32/CoinMiner.DC
Оперативная память = explorer.exe
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.04.2018 06:14:12
@Suprenok Ya,
добавьте образ автозапуска системы.
[ Как создать образ автозапуска? ]
 
Suprenok Ya
Suprenok Ya
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.04.2018
Размещено 24.04.2018 06:25:00
Надеюсь это нормально что почти везде в логе писало. [Не удается найти указанный файл. ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.04.2018 06:46:11
судя по логу угроз, заражение майнером возникает при запуске steam.exe, возможно один из компонент steam протроянен.

Цитата
20.04.2018 10:59:18;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp6325.tmp;модифицированный Win64/CoinMiner.DU потенциально нежелательная программа;;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;;20.04.2018 10:59:06

20.04.2018 11:00:00;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp32F4.tmp;модифицированный Win64/CoinMiner.DX потенциально нежелательная программа;очистка невозможна;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;;17.04.2018 20:40:20

20.04.2018 11:00:18;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp7A50.tmp;модифицированный Win64/CoinMiner.DX потенциально нежелательная программа;очистка невозможна;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;;17.04.2018 20:40:20

20.04.2018 11:35:19;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp7CE9.tmp;модифицированный MSIL/CoinMiner.R потенциально нежелательная программа;очистка невозможна;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;CB3EAD968BC02E8625CD30E6B4B955B0E642FC6E;20.04.2018 11:35:16

20.04.2018 23:05:06;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = explorer.exe(2040);модифицированный Win64/CoinMiner.DC потенциально нежелательная программа;очищен удалением;;;6E5910DF166184F30C0982FB8919A67B085638FB;

20.04.2018 23:05:07;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = explorer.exe(2040);модифицированный Win64/CoinMiner.DC потенциально нежелательная программа;очищен удалением;;;513B32A6F389AE1A2888F3E8BFBB2E3020B27443;

пробуйте перегрузить систему, не запуская steam после перезагрузки, выполнить глубокое полное сканирование системы.
[ Как создать образ автозапуска? ]
 
Suprenok Ya
Suprenok Ya
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.04.2018
Размещено 24.04.2018 08:27:32
Но если сканировать отдельно оперативную память то всё указывает на explorer.exe
Что делать?
 
Suprenok Ya
Suprenok Ya
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.04.2018
Размещено 24.04.2018 08:27:46
Сделал полное сканирование, но я уверен что после запуска Steam.exe он снова будет.
Возможно это он:
Примечания:
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.

И ещё когда открыл браузер восстановились расширения mail.ru по возможности тоже избавиться.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.04.2018 09:00:55
Цитата
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.
нет, это примечание. когда файл занят другим приложением. (его нельзя при этом изменить другим)

Цитата
Сделал полное сканирование, но я уверен что после запуска Steam.exe он снова будет.

если используется ломанный софт, то все может быть в нем, в том числе и майнер.
[ Как создать образ автозапуска? ]
 
Suprenok Ya
Suprenok Ya
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.04.2018
Размещено 24.04.2018 10:20:11
Предлагаете переустановить?
Не думаю что поможет, но всё же попробую.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.04.2018 10:28:39
Цитата
Suprenok Ya написал:
Предлагаете переустановить?Не думаю что поможет, но всё же попробую.
детект майнера появился после установки Steam, или позже?
(хотя возможен вариант, что майнер присутствовал в самом дистре, просто не попал на тот момент еще в базы).
[ Как создать образ автозапуска? ]
 
Suprenok Ya
Suprenok Ya
Пользователь
Сообщений: 16
Баллов: 8
Регистрация: 21.04.2018
Размещено 24.04.2018 10:33:58
С начало детект майна был explorer.exe
Иногда Steam.exe, только когда его запускал.
 
1 2 3 След.
Читают тему