Форум esetnod32.ru [тема: Как избавиться от Win32/CoinMiner.DC] http://forum.esetnod32.ru Новое в теме Как избавиться от Win32/CoinMiner.DC форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 14:05:54 +0300 Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Закрыто
25.04.2018 06:50:07, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103064/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103064/ Wed, 25 Apr 2018 06:50:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
santy, RP55 RP55, Всё может быть, но делал как вы советовали вот и один или даже все попытки помогли, даже глупые расширения mail удалились которые восстанавливались.

Спасибо, вам обоим! ( ͡° ͜ʖ ͡°)
25.04.2018 06:46:03, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103063/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103063/ Wed, 25 Apr 2018 06:46:03 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по образу из безопасного режима каких то скрытых файлов (драйверов) нет.

то что СЕЙЧАС отсутствует детект майнера при сканировании оперативной памяти может быть связано:

или с тем, что RP55 добавил скрипт очистки системы;

или вы переустановили steam без патченных модулей,

или еще не запускался тот софт, который содержит майнер.
--------------------
для Chrome у вас установлено много расширений, вполне возможно что какой-то из них содержит майнер.
25.04.2018 04:47:28, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103061/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103061/ Wed, 25 Apr 2018 04:47:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
тогда сделайте образ автозапуска системы из безопасного режима.
возможно есть активный руткит, который при нормальном режиме не не виден и не попадает в образ автозапуска.
=============
Запустил компьютер в безопасном режиме сделал полный образ автозапуска.
После перезагрузки сразу попробовал сканировать оперативную память но нечего нет.
Возможно пропала, но вероятнее из-за какой то ещё программы? К примеру сам explorer.exe ?
пусто.txt
SUPRENOK_2018-04-25_12-06-59.7z
25.04.2018 04:19:51, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103060/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103060/ Wed, 25 Apr 2018 04:19:51 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Suprenok Ya написал:
При запуске Steam не находит в оперативной памяти майнер.А при сканирование оперативной памяти (explorer.exe (1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа)  всегда обнаруживает и не отчищает.
=============
тогда сделайте образ автозапуска системы из безопасного режима.
возможно есть активный руткит, который при нормальном режиме не не виден и не попадает в образ автозапуска.
24.04.2018 17:36:40, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103057/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103057/ Tue, 24 Apr 2018 17:36:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
При запуске Steam не находит в оперативной памяти майнер.
А при сканирование оперативной памяти (explorer.exe (1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа)  всегда обнаруживает и не отчищает.
оперативная память.txt
24.04.2018 17:31:11, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103056/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103056/ Tue, 24 Apr 2018 17:31:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
После переустановки Steam.exe пока что антивирус не жаловался.
=============
т.е. вы переустановили steam и после переустановки steam, и после запуска steam антивирус более не находит в памяти майнер,
и при сканировании оперативной памяти так же ничего не обнаруживается.

верно?
24.04.2018 17:16:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103055/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103055/ Tue, 24 Apr 2018 17:16:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
предыдущий скан оперативной памяти сделали после запуска steam или после перезагрузки системы без запуска steam?
помечайте эти вещи, чтобы мы не повторяли одни и те же вопросы по нескольку раз.

надо четко определить закономерность. когда (при каких условиях и после запуска каких программ)  появляется инжект майнера в процесс explorer-а.
------------
и да, после завершения сканирования наверняка вам будет предложено выполнить определенные действия по очистке угрозы.

====quote====
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа - выбор действия отложен до завершения сканирования
=============
что будет происходить после очистки? если запустить повторный скан оперативной памяти. найдется майнер в памяти или нет.
=============
После переустановки Steam.exe пока что антивирус не жаловался.
Когда проверяю антивирусом оперативную память, всё так же без изменений
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа  
24.04.2018 17:12:22, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103054/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103054/ Tue, 24 Apr 2018 17:12:22 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
24.04.2018 16:45:10, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103053/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103053/ Tue, 24 Apr 2018 16:45:10 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
предыдущий скан оперативной памяти сделали после запуска steam или после перезагрузки системы без запуска steam?
помечайте эти вещи, чтобы мы не повторяли одни и те же вопросы по нескольку раз.

надо четко определить закономерность. когда (при каких условиях и после запуска каких программ)  появляется инжект майнера в процесс explorer-а.
------------
и да, после завершения сканирования наверняка вам будет предложено выполнить определенные действия по очистке угрозы.

====quote====
Оперативная память = explorer.exe(1780) - модифицированный Win64/CoinMiner.DC потенциально нежелательная программа - выбор действия отложен до завершения сканирования
=============

что будет происходить после очистки? если запустить повторный скан оперативной памяти. найдется майнер в памяти или нет.
24.04.2018 16:37:37, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103052/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103052/ Tue, 24 Apr 2018 16:37:37 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Выполните скрипт из моего предыдущего сообщения.
=============
Что дальше?
полное сканирование.txt
24.04.2018 16:32:23, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103051/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103051/ Tue, 24 Apr 2018 16:32:23 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выполните скрипт из моего предыдущего сообщения.
24.04.2018 15:59:25, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103047/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103047/ Tue, 24 Apr 2018 15:59:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
RP55 RP55, Если это поможет как то отчистки оперативной памяти.
оперативная память.txt
24.04.2018 15:58:01, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103046/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103046/ Tue, 24 Apr 2018 15:58:01 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

====code==== 
;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %Sys32%\DRIVERS\NTKNSV.SYS
deltmp
restart
;---------command-block---------
delref %Sys32%\TESSAFE.SYS
delref %Sys32%\TESMON.SYS
delref %Sys32%\DRIVERS\QMTGPNETFLOW764.SYS
delref %Sys32%\DRIVERS\NTKNSV.SYS
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJHNAFPIILPFFHGLAJCAEPJBNBJEMCI%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPGJFMBLHACACPHALJKDCJLLKOMDCJPC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCADGIJMEDBFGCIEGJOMFPJCDCHLHNIF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3DONDEMAND%26UC
delref CD %WINDIR%\MICROSOFT.NET\FRAMEWORK64\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF & CD %WINDIR%\MICROSOFT.NET\FRAMEWORK\V4.0.30319 & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL.MOF & MOFCOMP.EXE -AUTORECOVER .\MOF\SERVICEMODEL35.MOF & MOFCOMP.EXE -AUTORECOVER .\ASPNET.MOF
delall %SystemRoot%\TEMP\GUR5ABC.EXE
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\19C086AE5A4EBAC76F8D0C4EBE300622\WINDOWS6.1-KB3142024-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\09E91CAE77EF2C2AE9DDDB3A22DEAFDA\WINDOWS6.1-KB3159398-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F46AF61C9A4E9F4418740BAF17A28896\WINDOWS6.1-KB3126587-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\522B2906F9271FF46967FBEA6C9888AF\4E813955262D8E9D497A10018C36299AC02FCE5E
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\9444312B75385C6C2458BFC75B03DEAE\WINDOWS6.1-KB3184143-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\834EEA104C5763659E880F9934033141\DDECB05A9DB2654AD29577B363F5F8E040F59012
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8430AD468CD0047CA48B481C21CE22A8\WINDOWS6.1-KB3139914-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AEE4B8CEC2253CABF425584F76A2A3A7\WINDOWS6.1-KB3110329-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\CE457C19DF5F72F07A1AFEC4DFDC3A59\WINDOWS6.1-KB3109560-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BDE2FAEF4D81A19B7495A4665EBBCFB1\WINDOWS6.1-KB3161958-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\8339CC48B8C7325BA9F6177B7225F17E\WINDOWS6.1-KB3150220-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\56A6FD2DBD6FA8C67A31BFB066FAC754\WINDOWS6.1-KB3080149-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D4CF91FB191BAF8B908EAFA58B72F18F\WINDOWS6.1-KB3138910-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\5B5D8509733E1A53593750F8DF5E7118\WINDOWS6.1-KB3139398-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C1338134832FFEBEDD7293123A67637B\WINDOWS6.1-KB3133977-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\36A4DE3FFEE23A3456F25F1566A9622E\39D044F0752B83C2485C06D84001DD5B475D25BF
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\75418C5F7E286D676AB073754B40A034\1CF6A3B0DA21DB47232EE6A2CEC200B971744DE8
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\66E8CD8180CE486E2EFA73D7051B1136\7D08944484D693E51ABAF9C37EC5B54019309E22
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\AA53D9EF6E602AF3F959823597F43BB9\7DE10B1AFBBD69CB5B4B8E97827396DEC9BC3E0C
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\890E46BA84C288AA791BB13432AAB0A4\F9A7217920CCA209FC09466C889DF6D2A9DE05D9
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\BFE740F76D281C7131E91C7FBD8F5829\DEF29700C99F3C44CD5DBE031238B2E02B1901B7
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B4BAE0F49C394A113C02857B05828931\0D58B985BB2A96A98433F808C63DA5F339FDF6E9
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\C9B5AFBA7D9B01C9A5FA087BB3B08B2C\7BAB885C5FAC649C3A4BFF8F5F8EBC35298B85AC
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\959D452DF25941D32DBD47DB9829315F\904BD98E3B4A99FC29ACDDEEB38A945232078D6F
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\128B049EE87708F803A6D104FB7B60B7\WINDOWS6.1-KB2970228-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6A2947AC92E2FC6432DF26960F9808FC\WINDOWS6.1-KB3138612-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FA7D32DBBADDD42CD2F57721758E6A19\470640AA4BB7DB8E69196B5EDB0010933569E98D
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6157C3E24AF78FB1696896854DE8B666\WINDOWS6.1-KB3068708-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6D25187B81A248F464B4686B1224DABE\WINDOWS6.1-KB3115858-X64-EXPRESS.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\B70311D9268F06C87C38D17C3E5DF325\FFDE18261E10F8DDD3D87705D5F6B0FA886B8BEC-1
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\A05AB670E03935261D2FC89A5020B963\WINDOWS6.1-KB3127220-X64.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E857E5A0303D672B0A31DA3DB7CB6E0E\2F98A8F7FA876A339F16EFDE8389F71C858FE8C7-1
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\NPFOXITPHANTOMPDFPLUGIN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\PLUGINS\CREATOR\FXC_PROXYPROCESS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT READER\FOXITREADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FOXIT SOFTWARE\FOXIT PHANTOMPDF\FOXITPHANTOMPDF.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\USERS\SUPRENOK\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER.EXE
apply
=============

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
24.04.2018 15:57:10, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103045/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103045/ Tue, 24 Apr 2018 15:57:10 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Драйвера от: Tencent


=============
И какой вывод из этих действий?
24.04.2018 15:44:56, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103044/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103044/ Tue, 24 Apr 2018 15:44:56 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Я бы удалил это: C:\WINDOWS\SYSTEM32\DRIVERS\NTKNSV.SYS
+
Драйвера от: Tencent
24.04.2018 15:24:05, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103039/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103039/ Tue, 24 Apr 2018 15:24:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Suprenok Ya написал:
С начало детект майна был explorer.exeИногда Steam.exe, только когда его запускал.
=============
вполне возможно, что первоначально не было сигнатуры, которая бы детектировала майнер в модулях steam,
а вот в процессах, когда майнер внедряется в пространство explorer.exe антивир его обнаруживает.
------------
если после перезагрузки системы майнер не обнаруживается в процессах, значит таки он инжектируется в процесс explorer после запуска steam.
24.04.2018 10:56:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103033/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103033/ Tue, 24 Apr 2018 10:56:13 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
С начало детект майна был explorer.exe
Иногда Steam.exe, только когда его запускал.
24.04.2018 10:33:58, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103032/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103032/ Tue, 24 Apr 2018 10:33:58 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Suprenok Ya написал:
Предлагаете переустановить?Не думаю что поможет, но всё же попробую.
=============
детект майнера появился после установки Steam, или позже?
(хотя возможен вариант, что майнер присутствовал в самом дистре, просто не попал на тот момент еще в базы).
24.04.2018 10:28:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103031/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103031/ Tue, 24 Apr 2018 10:28:39 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Предлагаете переустановить?
Не думаю что поможет, но всё же попробую.
24.04.2018 10:20:11, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103030/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103030/ Tue, 24 Apr 2018 10:20:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.
=============
нет, это примечание. когда файл занят другим приложением. (его нельзя при этом изменить другим)


====quote====
Сделал полное сканирование, но я уверен что после запуска Steam.exe он снова будет.
=============

если используется ломанный софт, то все может быть в нем, в том числе и майнер.
24.04.2018 09:00:55, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103022/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103022/ Tue, 24 Apr 2018 09:00:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделал полное сканирование, но я уверен что после запуска Steam.exe он снова будет.
Возможно это он:
Примечания:
[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.

И ещё когда открыл браузер восстановились расширения mail.ru по возможности тоже избавиться.
маил вирус.txt
полное скан.txt
24.04.2018 08:27:46, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103021/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103021/ Tue, 24 Apr 2018 08:27:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Но если сканировать отдельно оперативную память то всё указывает на explorer.exe
Что делать?
оперативная память.txt
24.04.2018 08:27:32, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103020/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103020/ Tue, 24 Apr 2018 08:27:32 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по логу угроз, заражение майнером возникает при запуске steam.exe, возможно один из компонент steam протроянен.


====quote====
20.04.2018 10:59:18;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp6325.tmp;модифицированный Win64/CoinMiner.DU потенциально нежелательная программа;;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;;20.04.2018 10:59:06

20.04.2018 11:00:00;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp32F4.tmp;модифицированный Win64/CoinMiner.DX потенциально нежелательная программа;очистка невозможна;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;;17.04.2018 20:40:20

20.04.2018 11:00:18;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp7A50.tmp;модифицированный Win64/CoinMiner.DX потенциально нежелательная программа;очистка невозможна;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;;17.04.2018 20:40:20

20.04.2018 11:35:19;Защита в режиме реального времени;файл;C:\Users\Suprenok\AppData\Local\Temp\Tmp7CE9.tmp;модифицированный MSIL/CoinMiner.R потенциально нежелательная программа;очистка невозможна;SUPRENOK\Suprenok;Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Steam\Steam.exe (690637F875D471576EC83810406D06291BAECD96).;CB3EAD968BC02E8625CD30E6B4B955B0E642FC6E;20.04.2018 11:35:16

20.04.2018 23:05:06;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = explorer.exe(2040);модифицированный Win64/CoinMiner.DC потенциально нежелательная программа;очищен удалением;;;6E5910DF166184F30C0982FB8919A67B085638FB;

20.04.2018 23:05:07;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = explorer.exe(2040);модифицированный Win64/CoinMiner.DC потенциально нежелательная программа;очищен удалением;;;513B32A6F389AE1A2888F3E8BFBB2E3020B27443;

=============

пробуйте перегрузить систему, не запуская steam после перезагрузки, выполнить глубокое полное сканирование системы.
24.04.2018 06:46:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103019/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103019/ Tue, 24 Apr 2018 06:46:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Надеюсь это нормально что почти везде в логе писало. [Не удается найти указанный файл. ]
SUPRENOK_2018-04-24_14-16-58.7z
24.04.2018 06:25:00, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103018/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103018/ Tue, 24 Apr 2018 06:25:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
@Suprenok Ya,
добавьте образ автозапуска системы.
24.04.2018 06:14:12, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103017/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103017/ Tue, 24 Apr 2018 06:14:12 +0300 Обнаружение вредоносного кода и ложные срабатывания Как избавиться от Win32/CoinMiner.DC Как избавиться от Win32/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
В случайное время вылезает троян Win32/CoinMiner.DC
Оперативная память = explorer.exe
угрозы.txt
24.04.2018 06:12:09, Suprenok Ya.]]> http://forum.esetnod32.ru/messages/forum6/topic14549/message103016/ http://forum.esetnod32.ru/messages/forum6/topic14549/message103016/ Tue, 24 Apr 2018 06:12:09 +0300 Обнаружение вредоносного кода и ложные срабатывания