Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Coinminer.DV через explorer.exe , Постоянно вылезает сообщение Coinminer.DV через explorer.exe

1
RSS
 
Сергей Кузнецов
Сергей Кузнецов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 11.04.2018
Размещено 11.04.2018 13:48:04
Постоянно вылезает сообщение NOD: обнаружен в оперативной памяти Coinminer.DV через explorer.exe. Сканирование проведено. Вручную просмотрены темповые папки. Автозапуск изучен. удалены надстройки браузеров. Единственная странность нашел руками файлы: opera/bat.exe, iexplorer.bat.exe, chrome.bat.exe. Файлы удалил, но до этого проверил их через virustotal.com.  

Прилагаю Полный образ автозапуска.
Образ автозапуска
Изменено: Сергей Кузнецов - 11.04.2018 13:52:44
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 11.04.2018 14:38:57
Удалите:
C:\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\*
 
Сергей Кузнецов
Сергей Кузнецов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 11.04.2018
Размещено 11.04.2018 15:22:47
Цитата
RP55 RP55 написал:
Удалите:
C:\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\*
Удалил папку полностью. Там был два исполняемых файла. Кроме того по маске reimage нашел и удалил задание в tasks, и в разных местах куски от вируса.

Проблема не решилась. Все равно вылазит при загрузке, и изредка во время работы.
Изменено: Сергей Кузнецов - 12.04.2018 08:58:27
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 11.04.2018 18:58:34
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
 
Сергей Кузнецов
Сергей Кузнецов
Пользователь
Сообщений: 3
Баллов: 1
Регистрация: 11.04.2018
Размещено 12.04.2018 12:06:34
Провел сканирование. Были найдены и помещены в карантин.
Отчет
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 12.04.2018 12:12:59
Далее.

1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
 
1
Читают тему