Как избавиться от Win32/CoinMiner.DC - Форум технической поддержки ESET NOD32

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2018 10:56:13

Цитата
Suprenok Ya написал: С начало детект майна был explorer.exeИногда Steam.exe, только когда его запускал.

вполне возможно, что первоначально не было сигнатуры, которая бы детектировала майнер в модулях steam,
а вот в процессах, когда майнер внедряется в пространство explorer.exe антивир его обнаруживает.
------------
если после перезагрузки системы майнер не обнаруживается в процессах, значит таки он инжектируется в процесс explorer после запуска steam.

[ Как создать образ автозапуска? ]

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.04.2018 15:24:05

Я бы удалил это: C:\WINDOWS\SYSTEM32\DRIVERS\NTKNSV.SYS
+
Драйвера от: Tencent

Изменено: RP55 RP55 - 24.04.2018 15:27:39

Сообщений: 16

Баллов: 8

Регистрация: 21.04.2018

Размещено 24.04.2018 15:44:56

Цитата
RP55 RP55 написал: Драйвера от: Tencent

И какой вывод из этих действий?

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.04.2018 15:57:10

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v4.0.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %Sys32%\DRIVERS\NTKNSV.SYS deltmp restart ;---------command-block--------- delref %Sys32%\TESSAFE.SYS delref %Sys32%\TESMON.SYS delref %Sys32%\DRIVERS\QMTGPNETFLOW764.SYS delref %Sys32%\DRIVERS\NTKNSV.SYS delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC delref CD %WINDIR%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF & CD %WINDIR%\MICROSOFT.NET\FRAMEWORK\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF delall %SystemRoot%\TEMP\GUR5ABC.EXE delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\19C086AE5A4EBAC76F8D0C4EBE300622\WINDOWS6.1-KB3142024-X64.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\09E91CAE77EF2C2AE9DDDB3A22DEAFDA\WINDOWS6.1-KB3159398-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F46AF61C9A4E9F4418740BAF17A28896\WINDOWS6.1-KB3126587-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\522B2906F9271FF46967FBEA6C9888AF\4E813955262D8E9D497A10018C36299AC02FCE5E delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9444312B75385C6C2458BFC75B03DEAE\WINDOWS6.1-KB3184143-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\834EEA104C5763659E880F9934033141\DDECB05A9DB2654AD29577B363F5F8E040F59012 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8430AD468CD0047CA48B481C21CE22A8\WINDOWS6.1-KB3139914-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AEE4B8CEC2253CABF425584F76A2A3A7\WINDOWS6.1-KB3110329-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE457C19DF5F72F07A1AFEC4DFDC3A59\WINDOWS6.1-KB3109560-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BDE2FAEF4D81A19B7495A4665EBBCFB1\WINDOWS6.1-KB3161958-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8339CC48B8C7325BA9F6177B7225F17E\WINDOWS6.1-KB3150220-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\56A6FD2DBD6FA8C67A31BFB066FAC754\WINDOWS6.1-KB3080149-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D4CF91FB191BAF8B908EAFA58B72F18F\WINDOWS6.1-KB3138910-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5B5D8509733E1A53593750F8DF5E7118\WINDOWS6.1-KB3139398-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C1338134832FFEBEDD7293123A67637B\WINDOWS6.1-KB3133977-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\36A4DE3FFEE23A3456F25F1566A9622E\39D044F0752B83C2485C06D84001DD5B475D25BF delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\75418C5F7E286D676AB073754B40A034\1CF6A3B0DA21DB47232EE6A2CEC200B971744DE8 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\66E8CD8180CE486E2EFA73D7051B1136\7D08944484D693E51ABAF9C37EC5B54019309E22 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AA53D9EF6E602AF3F959823597F43BB9\7DE10B1AFBBD69CB5B4B8E97827396DEC9BC3E0C delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\890E46BA84C288AA791BB13432AAB0A4\F9A7217920CCA209FC09466C889DF6D2A9DE05D9 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BFE740F76D281C7131E91C7FBD8F5829\DEF29700C99F3C44CD5DBE031238B2E02B1901B7 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B4BAE0F49C394A113C02857B05828931\0D58B985BB2A96A98433F808C63DA5F339FDF6E9 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C9B5AFBA7D9B01C9A5FA087BB3B08B2C\7BAB885C5FAC649C3A4BFF8F5F8EBC35298B85AC delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\959D452DF25941D32DBD47DB9829315F\904BD98E3B4A99FC29ACDDEEB38A945232078D6F delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\128B049EE87708F803A6D104FB7B60B7\WINDOWS6.1-KB2970228-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6A2947AC92E2FC6432DF26960F9808FC\WINDOWS6.1-KB3138612-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FA7D32DBBADDD42CD2F57721758E6A19\470640AA4BB7DB8E69196B5EDB0010933569E98D delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6157C3E24AF78FB1696896854DE8B666\WINDOWS6.1-KB3068708-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6D25187B81A248F464B4686B1224DABE\WINDOWS6.1-KB3115858-X64-EXPRESS.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B70311D9268F06C87C38D17C3E5DF325\FFDE18261E10F8DDD3D87705D5F6B0FA886B8BEC-1 delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A05AB670E03935261D2FC89A5020B963\WINDOWS6.1-KB3127220-X64.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E857E5A0303D672B0A31DA3DB7CB6E0E\2F98A8F7FA876A339F16EFDE8389F71C858FE8C7-1 delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\NPFOXITPHANTOMPDFPLUGIN.DLL delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\CREATOR\FXC_PROXYPROCESS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\FOXITREADER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\FOXITPHANTOMPDF.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE delref %SystemDrive%\USERS\SUPRENOK\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER.EXE apply

Код

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %Sys32%\DRIVERS\NTKNSV.SYS
deltmp
restart
;---------command-block---------
delref %Sys32%\TESSAFE.SYS
delref %Sys32%\TESMON.SYS
delref %Sys32%\DRIVERS\QMTGPNETFLOW764.SYS
delref %Sys32%\DRIVERS\NTKNSV.SYS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref CD %WINDIR%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF & CD %WINDIR%\MICROSOFT.NET\FRAMEWORK\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF
delall %SystemRoot%\TEMP\GUR5ABC.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\19C086AE5A4EBAC76F8D0C4EBE300622\WINDOWS6.1-KB3142024-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\09E91CAE77EF2C2AE9DDDB3A22DEAFDA\WINDOWS6.1-KB3159398-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F46AF61C9A4E9F4418740BAF17A28896\WINDOWS6.1-KB3126587-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\522B2906F9271FF46967FBEA6C9888AF\4E813955262D8E9D497A10018C36299AC02FCE5E
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9444312B75385C6C2458BFC75B03DEAE\WINDOWS6.1-KB3184143-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\834EEA104C5763659E880F9934033141\DDECB05A9DB2654AD29577B363F5F8E040F59012
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8430AD468CD0047CA48B481C21CE22A8\WINDOWS6.1-KB3139914-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AEE4B8CEC2253CABF425584F76A2A3A7\WINDOWS6.1-KB3110329-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE457C19DF5F72F07A1AFEC4DFDC3A59\WINDOWS6.1-KB3109560-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BDE2FAEF4D81A19B7495A4665EBBCFB1\WINDOWS6.1-KB3161958-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8339CC48B8C7325BA9F6177B7225F17E\WINDOWS6.1-KB3150220-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\56A6FD2DBD6FA8C67A31BFB066FAC754\WINDOWS6.1-KB3080149-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D4CF91FB191BAF8B908EAFA58B72F18F\WINDOWS6.1-KB3138910-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5B5D8509733E1A53593750F8DF5E7118\WINDOWS6.1-KB3139398-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C1338134832FFEBEDD7293123A67637B\WINDOWS6.1-KB3133977-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\36A4DE3FFEE23A3456F25F1566A9622E\39D044F0752B83C2485C06D84001DD5B475D25BF
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\75418C5F7E286D676AB073754B40A034\1CF6A3B0DA21DB47232EE6A2CEC200B971744DE8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\66E8CD8180CE486E2EFA73D7051B1136\7D08944484D693E51ABAF9C37EC5B54019309E22
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AA53D9EF6E602AF3F959823597F43BB9\7DE10B1AFBBD69CB5B4B8E97827396DEC9BC3E0C
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\890E46BA84C288AA791BB13432AAB0A4\F9A7217920CCA209FC09466C889DF6D2A9DE05D9
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BFE740F76D281C7131E91C7FBD8F5829\DEF29700C99F3C44CD5DBE031238B2E02B1901B7
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B4BAE0F49C394A113C02857B05828931\0D58B985BB2A96A98433F808C63DA5F339FDF6E9
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C9B5AFBA7D9B01C9A5FA087BB3B08B2C\7BAB885C5FAC649C3A4BFF8F5F8EBC35298B85AC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\959D452DF25941D32DBD47DB9829315F\904BD98E3B4A99FC29ACDDEEB38A945232078D6F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\128B049EE87708F803A6D104FB7B60B7\WINDOWS6.1-KB2970228-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6A2947AC92E2FC6432DF26960F9808FC\WINDOWS6.1-KB3138612-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FA7D32DBBADDD42CD2F57721758E6A19\470640AA4BB7DB8E69196B5EDB0010933569E98D
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6157C3E24AF78FB1696896854DE8B666\WINDOWS6.1-KB3068708-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6D25187B81A248F464B4686B1224DABE\WINDOWS6.1-KB3115858-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B70311D9268F06C87C38D17C3E5DF325\FFDE18261E10F8DDD3D87705D5F6B0FA886B8BEC-1
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A05AB670E03935261D2FC89A5020B963\WINDOWS6.1-KB3127220-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E857E5A0303D672B0A31DA3DB7CB6E0E\2F98A8F7FA876A339F16EFDE8389F71C858FE8C7-1
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\NPFOXITPHANTOMPDFPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\CREATOR\FXC_PROXYPROCESS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\FOXITREADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\FOXITPHANTOMPDF.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\USERS\SUPRENOK\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER.EXE
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 16

Баллов: 8

Регистрация: 21.04.2018

Размещено 24.04.2018 15:58:01

RP55 RP55, Если это поможет как то отчистки оперативной памяти.

Прикрепленные файлы

оперативная память.txt (2.46 КБ)

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.04.2018 15:59:25

Выполните скрипт из моего предыдущего сообщения.

Сообщений: 16

Баллов: 8

Регистрация: 21.04.2018

Размещено 24.04.2018 16:32:23

Цитата
RP55 RP55 написал: Выполните скрипт из моего предыдущего сообщения.

Что дальше?

Прикрепленные файлы

полное сканирование.txt (2.36 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.04.2018 16:37:37

предыдущий скан оперативной памяти сделали после запуска steam или после перезагрузки системы без запуска steam?
помечайте эти вещи, чтобы мы не повторяли одни и те же вопросы по нескольку раз.

надо четко определить закономерность. когда (при каких условиях и после запуска каких программ) появляется инжект майнера в процесс explorer-а.
------------
и да, после завершения сканирования наверняка вам будет предложено выполнить определенные действия по очистке угрозы.

Цитата
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа - выбор действия отложен до завершения сканирования

что будет происходить после очистки? если запустить повторный скан оперативной памяти. найдется майнер в памяти или нет.

[ Как создать образ автозапуска? ]

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 24.04.2018 16:45:10

1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Сообщений: 16

Баллов: 8

Регистрация: 21.04.2018

Размещено 24.04.2018 17:12:22

Цитата

santy написал:
предыдущий скан оперативной памяти сделали после запуска steam или после перезагрузки системы без запуска steam?
помечайте эти вещи, чтобы мы не повторяли одни и те же вопросы по нескольку раз.

надо четко определить закономерность. когда (при каких условиях и после запуска каких программ) появляется инжект майнера в процесс explorer-а.
------------
и да, после завершения сканирования наверняка вам будет предложено выполнить определенные действия по очистке угрозы.

Цитата
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа - выбор действия отложен до завершения сканирования

что будет происходить после очистки? если запустить повторный скан оперативной памяти. найдется майнер в памяти или нет.

После переустановки Steam.exe пока что антивирус не жаловался.
Когда проверяю антивирусом оперативную память, всё так же без изменений
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа

[ Закрыто ] Как избавиться от Win32/CoinMiner.DC

Ответы