Форум esetnod32.ru [тема: НЕ могу избавиться от WIN64/CoinMiner.CS] http://forum.esetnod32.ru Новое в теме НЕ могу избавиться от WIN64/CoinMiner.CS форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 07:04:42 +0300 НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.
если майнер останется после перезагрузки,
судя по всему, имеем тяжелый случай.

нужен будет образ автозапуска, сделанный из под liveCD

iso загрузочного диска можно скачать отсюда:
https://chklst.ru/discussion/61/winpe-uvs
(версия uVS там ниже, но в данном случае это не принципиально)

как создать образ автозапуска из под загрузочного диска можно посмотреть здесь
https://forum.esetnod32.ru/forum27/topic2102/
14.09.2018 15:07:13, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104408/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104408/ Fri, 14 Sep 2018 15:07:13 +0300 Обнаружение вредоносного кода и ложные срабатывания НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.0.15 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
icsuspend
delref WMI_.[FUCKYOUMM2_FILTER]
delall D:\USERS\LUZUIS\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
zoo %SystemRoot%\TEMP\CONHOST.EXE
addsgn 925277BA106AC1CC0B24544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan:Win32/CoinMiner.C!cl 7

chklst
delvir

deldirex %SystemDrive%\USERS\LUZUIS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://SEARCH.QIP.RU/IE
delref HTTP://QIP.RU
apply

regt 28
regt 29
regt 26
regt 25

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\TEAMVIEWER\TEAMVIEWER.EXE 
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\1FDA658AFFF83CDB0D764D270D643FA0\2CDAC12018934BAE7D52E4757C2BDA5DA22C7F61
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\ACROBAT\ACTIVEX\ACROPDF64.DLL
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D1E7CBDA-E60E-4970-A01C-37301EF7BF98}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES\OPERA NEXT X64\OPERA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\LIGHTSHOT\LIGHTSHOT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {C81DCBCA-8AE2-41FC-9C39-78B160393210}\[CLSID]
delref SLDWORKS SHELL EXTENSION\[CLSID]
delref DIVX SHELL EXTENSION\[CLSID]
delref {240629A2-EDE1-4FE8-B8BB-D4974A9B9600}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\DRIVERS\TSUSBHUB.SYS
delref %SystemDrive%\PROGRAM FILES\TABLET\WACOM\PROFESSIONAL_CPL.EXE
delref %Sys32%\BLANK.HTM
delref DIVX SHELL EXTENSION X64\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\25490575.SYS
delref %Sys32%\DRIVERS\30177667.SYS
delref %Sys32%\DRIVERS\41286830.SYS
delref %Sys32%\DRIVERS\53804385.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\DROPBOXUPDATE.EXE
delref {EBD2F9CE-C188-493C-A87E-46B8D05F2B98}\[SERVICE]
delref %Sys32%\DRIVERS\EIO64.SYS
delref D:\TEMP\ESIHDRV.SYS
delref %Sys32%\HASPLMS.EXE
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\CONIME.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\LUZUIS\APPDATA\ROAMING\DROPBOX\BIN\DROPBOX.EXE
delref D:\PROGRAM FILES\AUTODESK\3DS MAX DESIGN 2015\INVENTOR SERVER\BIN\TESTSERVER.DLL
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2012\ADDFLOW4.OCX
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\CLIENT\DROPBOX.EXE
delref %Sys32%\OLCH3XU8.OCX
delref %Sys32%\OLCH3X8.OCX
delref %Sys32%\OLCH2X8.OCX
delref D:\PROGRAM FILES\ADOBEAE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\(MEDIA CORE PLUG-INS)\COMMON\DXMULTIGRAPHBRIDGE.PRM
delref D:\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CS6 (64 BIT)\PHOTOSHOP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref D:\PROGRAM FILES\ADOBEAE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\(MEDIA CORE PLUG-INS)\COMMON\DXCAPTURESOURCE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\DIRECTCONNECT2014 (64-BIT)\BIN\ARUBA\ACSIGNCORE16.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SOLIDWORKS SHARED\SLDSHELLUTILS10U.DLL
delref D:\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS X64 EDITION\EMODELVIEWER.EXE
delref D:\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\SCANTO3D\ADDIN\NEMODEL.DLL
delref %Sys32%\BDMPEGV64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref D:\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\DSGNCHK\DSGNCHKBLDU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVXDSYNC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref D:\PROGRAM FILES\ADOBEAE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\(MEDIA CORE PLUG-INS)\COMMON\DVCONTROL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref D:\PROGRAM FILES\ADOBEAE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\(MEDIA CORE PLUG-INS)\COMMON\DXSAMPLEINTERCEPTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\64\WBOCX.OCX
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\ACROBAT\ACTIVEX\ACROPDFIMPL64.DLL
delref D:\PROGRAM FILES\ADOBEAE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\(MEDIA CORE PLUG-INS)\COMMON\DXAVSOURCE.DLL
delref %Sys32%\NVCPL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\ADOBE\SHOCKWAVE 11\SWHELPER_1167637.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.27.35\DROPBOXUPDATEBROKER.EXE
delref D:\PROGRAM FILES (X86)\ARTCAM 2010\EXEC\ACMCM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\LIZARDTECH\LIZARDTECH DJVU CONTROL\DJVUCNTL.DLL
delref D:\PROGRAM FILES (X86)\AUTODESK\3DS MAX 2013\MAXINVENTORSERVERHOST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SONY\SHARED PLUG-INS\AUDIO\XPVINYL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DIVX\CODECS\MC_DEMUX_MP4_DS.AX
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref D:\PROGRAM FILES (X86)\2GIS\3.0\GRYM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SONY\SHARED PLUG-INS\AUDIO\SFTRKFX1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SONY\SOUND FORGE PRO 10.0\OPCPCMIMPORTER.DLL
delref D:\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS\EMODELVIEWER.EXE
delref %SystemRoot%\SYSWOW64\ADOBE\DIRECTOR\SWDNLD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.27.35\DROPBOXUPDATEONDEMAND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SONY\SOUND FORGE PRO 10.0\FILEIO PLUG-INS\AC3PLUG\AC3PLUG.DLL
delref %SystemDrive%\PROGRA~2\PYTHON26\PYTHONW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PYTHON26\LIB\SITE-PACKAGES\WIN32COM\SERVER\LOCALSERVER.PY
delref D:\PROGRA~2\2GIS\3.0\PLUGINS\DGISLA~1.DLL
delref %SystemRoot%\CAPICOM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.124\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\WSDETECT.DLL
delref D:\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\SWVBASERVER\SWVBASERVER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\МЕНЕДЖЕР УСТАНОВКИ SOLIDWORKS\22.0\SLDIMDOWNLOADER.EXE
delref D:\PROGRA~2\RHINOC~1.0\SYSTEM\RHINO4.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.27.35\PSMACHINE.DLL
delref D:\PROGRA~2\ASCON\KOMPAS~1\LIBS\MEASUR~1\MEASUR~1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DELCAM\EXCHANGE 6.1.20.05\SYS\EXEC\SDX.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref D:\PROGRAM FILES\SOLIDWORKS CORP\SOLIDWORKS\SIMULATION\PARAMETRICOBJECT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SONY\SOUND FORGE PRO 10.0\FORGE100.EXE
delref D:\PROGRAM FILES\SOLIDWORKS CORP\EDRAWINGS\EDRAWINGOFFICEAUTOMATOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref D:\PROGRA~2\2GIS\3.0\PLUGINS\DGISLAN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~2\QIPINF~1\INFIUM.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\AUTODESK SHARED\DIRECTCONNECT2014 (64-BIT)\BIN\ARUBA\AEC32BITAPPSERVER57.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DIVX\CODECS\MC_DEMUX_MP2_DS.AX
delref F:\SETUP.EXE
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\LUZUIS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER\NPUNITY3D32.DLL
delref G:\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\DOTA 2 BETA\DOTA.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\FBX\FBXPLUGINS\2012.0\3DS MAX 2012 64-BIT\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTODESK\FBX\FBXPLUGINS\2013.1\3DS MAX 2013\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTODESK\BACKBURNER\MANAGER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTODESK\BACKBURNER\MONITOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTODESK\BACKBURNER\SERVER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AUTODESK\BACKBURNER\DOCS\BACKBURNER_USER_GUIDE.URL
delref %SystemDrive%\PROGRAM FILES (X86)\BLENDER FOUNDATION\BLENDER\HELP.URL
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2012\VRAYSPAWNER2012.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\K-LITE CODEC PACK\FILTERS\HAALI\UNINSTALL.EXE
delref D:\DRIVEKEY\HPUSBFW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\LIGHTSHOT\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LIZARDTECH\LIZARDTECH DOCUMENT EXPRESS EDITOR\BIN\DJVUEDITOR.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INSTALLSHIELD INSTALLATION INFORMATION\{4BF62C05-3943-4ECB-B233-6E37E3FB5BCF}\SETUP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PIXOLOGIC\ZBRUSH 4.0\ZBRUSH.EXE
delref %SystemDrive%\PROGRAM FILES\AUTODESK\3DS MAX 2012\SRV11_UNINSTALL.EXE
delref D:\PROGRAM FILES\STRONGDC++\STRONGDC.EXE
delref D:\PROGRAM FILES\STRONGDC++\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\TABLET\WACOM\32\WACOMDESKTOPCENTER.EXE
delref %SystemDrive%\PROGRAM FILES\TABLET\WACOM\32\LCDSETTINGS.EXE
delref %SystemDrive%\PROGRAM FILES\TABLET\WACOM\32\PREFUTIL.EXE
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска для контроля.
------------
14.09.2018 10:58:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104404/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104404/ Fri, 14 Sep 2018 10:58:49 +0300 Обнаружение вредоносного кода и ложные срабатывания НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
+
переделайте образ автозапуска  актуальной версией uVS
4.0 таки устаревшая версия, которая не имеет ряда новых полезных функций
uVS v4.0 [ http://dsrt.dyndns.org ]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
+
вопрос:
эта политика вам известна:
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsec­Policy{9470fdb0-aa4e-4837-87e8-1678ec5e2287}
=============

роутер сбросил на роутере пароль поменял, политику мог настроить когда пытался фаетволом защититься, но это не точно
AdwCleaner[S03].txt
WOOP_2018-09-14_13-01-07.TXT
14.09.2018 10:42:54, Max K.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104403/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104403/ Fri, 14 Sep 2018 10:42:54 +0300 Обнаружение вредоносного кода и ложные срабатывания НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
переделайте образ автозапуска актуальной версией uVS
4.0 таки устаревшая версия, которая не имеет ряда новых полезных функций
uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]
+
вопрос:
эта политика вам известна:
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9470fdb0-aa4e-4837-87e8-1678ec5e2287}
14.09.2018 06:32:17, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104402/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104402/ Fri, 14 Sep 2018 06:32:17 +0300 Обнаружение вредоносного кода и ложные срабатывания НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.
это сделали? помогло? нет?

====quote====
+
возможно, проблема связана с изменением настроек dns роутера.
(можно аппаратно сбросить настройки роутера, и заново настроить роутер для выхода в сеть
+
установить надежный пароль на доступ к настройкам)

=============
+
сделайте проверку в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
13.09.2018 15:55:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104392/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104392/ Thu, 13 Sep 2018 15:55:14 +0300 Обнаружение вредоносного кода и ложные срабатывания НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.
не получается запустить Антивирус
WOOP_2018-09-13_14-01-53.TXT
13.09.2018 15:36:58, Max K.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104391/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104391/ Thu, 13 Sep 2018 15:36:58 +0300 Обнаружение вредоносного кода и ложные срабатывания НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте так же лог журнала обнаружения угроз (в читабельном виде)
http://forum.esetnod32.ru/forum9/topic1408/

+
возможно, проблема связана с изменением настроек dns роутера.
(можно аппаратно сбросить настройки роутера, и заново настроить роутер для выхода в сеть
+
установить надежный пароль на доступ к настройкам)
13.09.2018 12:12:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104388/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104388/ Thu, 13 Sep 2018 12:12:58 +0300 Обнаружение вредоносного кода и ложные срабатывания НЕ могу избавиться от WIN64/CoinMiner.CS НЕ могу избавиться от WIN64/CoinMiner.CS CoinMiner/Boot.DarkGalaxy в форуме Обнаружение вредоносного кода и ложные срабатывания.
Выручайте  WIN64/CoinMiner.CS поразил svchost.exe
образ автозапуска в uVS в приложении
WOOP_2018-09-13_14-01-53.rar
13.09.2018 10:26:40, Max K.]]> http://forum.esetnod32.ru/messages/forum6/topic14957/message104385/ http://forum.esetnod32.ru/messages/forum6/topic14957/message104385/ Thu, 13 Sep 2018 10:26:40 +0300 Обнаружение вредоносного кода и ложные срабатывания