Форум esetnod32.ru [тема: Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC] http://forum.esetnod32.ru Новое в теме Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Thu, 30 Apr 2026 17:06:39 +0300 Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Хорошо.
Выполните рекомендации:
https://forum.esetnod32.ru/forum9/topic13764/
26.07.2018 18:49:36, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103961/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103961/ Thu, 26 Jul 2018 18:49:36 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
santy,ок .СПАСИБО БОЛЬШОЕ ВАМ .КоинМайнер.СД теперь не появлиаеться.Вы лучшие техподдержка из которых когда либо я видал.
26.07.2018 16:50:04, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103960/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103960/ Thu, 26 Jul 2018 16:50:04 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
25.07.2018 14:36:07, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103955/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103955/ Wed, 25 Jul 2018 14:36:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
RP55 RP55,лог-файл (Fixlog.txt):
Fixlog.txt
25.07.2018 14:21:49, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103954/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103954/ Wed, 25 Jul 2018 14:21:49 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

====code==== 
  

ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
HKLM-x32\...\RunOnce: [wextract_cleanup0] => 0
HKLM-x32\...\RunOnce: [{f0080ca2-80ae-4958-b6eb-e8fa916d744a}] => 0
HKLM-x32\...\RunOnce: [{a2199617-3609-410f-a8e8-e8806c73545b}] => 0
HKLM-x32\...\RunOnce: [{d2c8df0e-f15d-4426-9e51-f13f329f9cb4}] => 0
HKLM-x32\...\RunOnce: [{49e969a1-2990-464d-92b5-25f6f34573c6}] => 0
HKLM-x32\...\RunOnce: [{404c9c27-8377-4fd1-b607-7ca635db4e49}] => 0
HKLM-x32\...\RunOnce: [{6c6356fe-cbfa-4944-9bed-a9e99f45cb7a}] => 0
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2018-07-07 02:43 - 2018-07-07 02:43 - 000000000 ____D C:\Program Files\1S1FNOLKKZ
EmptyTemp:
Reboot:
=============
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...
и
Пишем по _общему результату лечения.
24.07.2018 18:31:33, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103949/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103949/ Tue, 24 Jul 2018 18:31:33 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ссылкы на  файлы логов FRST.txt и Addition.txt : http://rgho.st/private/8qy6TDMwR/15d2546c4d631a1e5a352a0366b136bc
и http://rgho.st/private/66KyN7Wl5/ee5146a68950b24703b34ea9d049033b
24.07.2018 13:36:55, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103944/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103944/ Tue, 24 Jul 2018 13:36:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
24.07.2018 06:10:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103941/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103941/ Tue, 24 Jul 2018 06:10:34 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
 журнала сканирования
AdwCleaner[S00].txt
23.07.2018 23:20:08, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103940/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103940/ Mon, 23 Jul 2018 23:20:08 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Записи относящиеся к \KMSEM\  можно не удалять.

1) В Malwarebytes - всё прочее найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
22.07.2018 22:30:11, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103934/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103934/ Sun, 22 Jul 2018 22:30:11 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Отчет анализа программой Malwarebytes
Отчет анализа программой Malwarebytes.txt
22.07.2018 22:12:48, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103932/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103932/ Sun, 22 Jul 2018 22:12:48 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


====code==== 

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

delref HTTP://MYPOISK.SU/ HTTPS://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?P=MKO_AWFZXIPYRAHDGKBRHOJYN9_5EDL7QPPMXKXJCOIFQATYJGPSDRLZSZDXDAGDSYFUNORN1Z8EX77LJDAQ68WYASLNGGATCPIQ__RGOQYXYO8AR4OW4E6YFHUFMF46RDNPECWEQFSIMPY92P7GI3DXBYHF52E4QKTLP-GXUFEQNB03ODEKOOYRSWDBU5
delall %SystemDrive%\PROGRAMDATA\4C64A4EA-1F81-1\4C64A4EA-1F81-1.D
delall %SystemDrive%\PROGRAMDATA\4C64A4EA-5811-0\4C64A4EA-5811-0.D
delall %SystemDrive%\PROGRAMDATA\QDDGHEDCBPKSMPVB\TRJGJZB.WSF
delall %SystemDrive%\PROGRAMDATA\VOYASOLLAM\SOLOSANTRAX.DLL
delref %SystemDrive%\PROGRAMDATA\\VOYASOLLAM\VOYASOLLAM.DAT
delref %SystemDrive%\PROGRAMDATA\\VOYASOLLAM\VOYASOLLAM.EXE
delref %SystemDrive%\PROGRAMDATA\\VOYASOLLAM\\VOYASOLLAM.DAT
delref %SystemDrive%\PROGRAMDATA\\VOYASOLLAM\\VOYASOLLAM.EXE
delall %SystemDrive%\USERS\7272~1\APPDATA\LOCAL\TEMP\RAR$EXA4716.11189\PHOTOSHOP\PHOTOSHOP.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\IGNKV422DAN\0BUDMTRZVTS.EXE
delall %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YAOLWXGXXRAU2\GKOYSTWRXTKBK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\CJKSCRMZU\KYTRTB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ZFLNASSUZPDXC\OYPZAMA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GGYOESSTYMMATVJTMYR\XCCBFTJ.DLL
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\UWA\UPDATERSTARTUPUTILITY.EXE
delref %Sys32%\BLANK.HTM
delref SMART MOUNT SHELL EXTENSION\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2014\PHOTOSHOP.EXE\AUTOMATION
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SZUKWMZLGIE\KLVJZGTAVL.EXE
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DCCEFHJAIFDMPKJCBIOJJENNOJMEDCHC\2.0.0_0\БЛОКИРОВЩИК РЕКЛАМЫ ДЛЯ ЮТУБА™
delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NMEINLFOJLCEGBLPOGPJBHIPMONCLEJH\2.0.0_0\BAZZ SEARCH SAFEFINDER
delall %SystemDrive%\PROGRAM FILES (X86)\SZUKWMZLGIE\TZSBPKPZ.DLL
delref %Sys32%\DRIVERS\POWZIP.SYS
deldir %SystemDrive%\PROGRAM FILES (X86)\MULTITIMER
regt 1
regt 2
regt 5
regt 27
deltmp
delref
apply
restart
=============

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
21.07.2018 19:59:07, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103927/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103927/ Sat, 21 Jul 2018 19:59:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
АДМИН-ПК_2018-07-21_17-16-17.7z
АДМИН-ПК_2018-07-21_17-16-17.7z
21.07.2018 14:22:04, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103926/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103926/ Sat, 21 Jul 2018 14:22:04 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
У меня образ автозапуска не открывается.

Я говорил о необходимости _переделать образ.
Если вы работаете со старой версией uVS - скачайте актуальную версию: Здесь
20.07.2018 20:35:39, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103924/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103924/ Fri, 20 Jul 2018 20:35:39 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Лог журнала обнаруженных угроз и образ автозапуска.
лог журнала.txt
АДМИН-ПК_2018-07-19_19-36-15.TXT
20.07.2018 17:57:00, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103923/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103923/ Fri, 20 Jul 2018 17:57:00 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
20.07.2018 05:28:03, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103917/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103917/ Fri, 20 Jul 2018 05:28:03 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
Заманбек Айдаров

Добавленный вами образ автозапуска системы - повреждён.

Переделайте образ.
Прикрепите его к вашему сообщению здесь на форуме ( внизу страницы есть форма: Загрузить файлы )
Желательно предварительно поместить файл образа в архив.
19.07.2018 18:15:04, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103912/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103912/ Thu, 19 Jul 2018 18:15:04 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
=============
http://rgho.st/private/7DpHZkQkf/d8e6a6abfd8bad9da09559f886db907d
19.07.2018 17:34:10, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103911/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103911/ Thu, 19 Jul 2018 17:34:10 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
19.07.2018 05:26:34, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103902/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103902/ Thu, 19 Jul 2018 05:26:34 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC в форуме Обнаружение вредоносного кода и ложные срабатывания.
20.04.2018 23:05:06;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = explorer.exe(2040);модифицированный Win64/CoinMiner.DC потенциально нежелательная программа;очищен удалением;;;6E5910DF166184F30C0982FB8919A67B085638FB;
У меня иногда так выходить:Оперативная память = explorer.exe(2040),Win64/CoinMiner.DC .Нажимаю очистить ,но не получаеться у него,и не мог найти эту программу.CoinMiner.DC .Помагите пожалуста
Файл архива с образом автозапуска :http://rgho.st/private/7DpHZkQkf/d8e6a6abfd8bad9da09559f886db907d
19.07.2018 00:33:13, Заманбек Айдаров.]]> http://forum.esetnod32.ru/messages/forum6/topic14857/message103899/ http://forum.esetnod32.ru/messages/forum6/topic14857/message103899/ Thu, 19 Jul 2018 00:33:13 +0300 Обнаружение вредоносного кода и ложные срабатывания