Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Win32/CoinMiner.DV. Помогите удалить.

RSS
 
Vova
Vova
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 02.10.2013
Размещено 27.12.2013 19:42:04
Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = D:\openvg.exe модифицированный Win32/CoinMiner.DV троянская программа.


И очень начал тормозить компьютер.



Вот лог uVS

Ответы

Пред. 1 2
 
Vova
Vova
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 02.10.2013
Размещено 28.12.2013 14:12:03
Так же.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.12.2013 16:13:21
добавьте образ автозапуска из безопасного режима системы
[ Как создать образ автозапуска? ]
 
Vova
Vova
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 02.10.2013
Размещено 28.12.2013 16:56:02
Вот
 
Vova
Vova
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 02.10.2013
Размещено 28.12.2013 17:17:35
И ещё одно, теперь когда я вставляю Флеш. и захожу в Мой компьютер - Transcend (H :)  - (Флешка). То у меня закрывается процесс explorer.exe. И появляется msg "Обнаружена Угроза"(28.12.2013 15:13:23 Защита в режиме реального времени файл D:\openvg.exe модифицированный Win32/CoinMiner.DV троянская программа очищен удалением - изолирован MEGA\ADMIN Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\explorer.exe.).



Вчера все было нормально.

Только что удалил фильм с флешки, стало все нормально.
Изменено: Vova - 28.12.2013 17:23:56
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.12.2013 18:07:03
понятно, теперь, заражение идет у вас с флэшки. скрипт по новому образу сейчас напишу.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.12.2013 18:10:51
1. удалите ярлыки браузеров на рабочем столе, и заново переделайте их.

2.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.81.8 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
addsgn A7679B23506A4C7261D4C4B12DBDEB5673DD44AA74B31F9041A3334363162424A31189575AAAAD2DA2A0250B085C49717D3752A3AE2583FE781FBE298D06468C 8 a variant of Win32/CoinMiner.DV

zoo D:\OPENVG.EXE

;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HOME.WEBALTA.RU/?START

; Java(TM) 6 Update 35
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216035FF} /quiet

deltmp
delnfr
;-------------------------------------------------------------

regt 5
CZOO
restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 28.12.2013 19:56:34
[ Как создать образ автозапуска? ]
 
Vova
Vova
Пользователь
Сообщений: 14
Баллов: 7
Регистрация: 02.10.2013
Размещено 28.12.2013 19:03:14
Ничего не изменилось, все как и было.
Вот отчет:
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.12.2013 19:08:39
удалите все найденное в мбам, кроме этого
Цитата
Объекты реестра обнаружены:  1
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Плохо: (1) Хорошо: (0) -> Действие не было предпринято.

перегрузите систему, и еще раз выполните быстрый скан в малваребайт
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему