Skocz do zawartości

Temat został przeniesiony do archiwum

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

kaasownik

ESET znajduje CoinMiner w explorer.exe

Rekomendowane odpowiedzi

Witam!

 

Jak w temacie, od pewnego komputer pozostawiony sam sobie, po ruszeniu wywala komunikat z ESET'a o znalezieniu Win64/CoinMiner.DC w Pamięć operacyjna>>explorer.exe (mam screen jak byl by potrzebny), po wybraniu wylecz, nie mozna przez chwile uruchomic zadnego programu, np. taskmanagera. Po pierwszy wystapieniu i wyleczeniu, explorer.exe w menedżerze zadan pokazuje uzycie proca w granicach 30% (screen mam).

 

Prosze o pomoc w pozbyciu sie smiecia.

FRST.zip

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość AdmK

To go z zewnątrz jakimś live cd, np. ESET SysRescue Live albo Kaspersky Rescue Disk 10

 

Tak na marginesie, myślisz że wielu zechce pobrać od Ciebie ZIPa :E

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

 

Tak na marginesie, myślisz że wielu zechce pobrać od Ciebie ZIPa :E

 

Wielkosc zalacznika jest ograniczona do 100k, jeden txt ma ponad 109k, masz jakis inny pomysl na zalaczenie plikow? Poza tym sam fakt sciagniecia zipa jeszcze niczym nie grozi, a w srodku widac ze sa tylko pliki txt.

 

A ja mam takie komunikaty :(

73470615085704686711.png

 

i z taskmanagera

28622224101834463981.png

 

Jeszcze sprobuje z tym live CD, moze cos znajdzie.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

ESET generuje dużo fałszywych alarmów. Przeskanuj explorer.exe na VirusTotal i Zemaną.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Przeskanowalem ESETSysRescue Live, VirusTotal, i Zemana.

Nadal zaraz po uruchomieniu komputera komunikat z ESET o DC.Miner w pamiecie, po wyleczeniu, spokoj dopoki korzystam z komputera jak go zostawie znowu pare komunikaktow z ESET, jak z taskmanagera uruchomie proces explorer.exe ponownie, to do ponownego uruchomienia komputera mam spokoj, wiec dziadostwo gdzies musi siedziec i wylazi przy starcie windows :(

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Jaki był wynik skanowania na VirusTotal i Zemaną. Skanowałeś Zemaną także system? Problemem nie musi być wirus, tylko Eset.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

masz ruskie wpisy w zainstalowanych programach, pewnie w taskach też coś siedzi

 

z rzeczy, które wyglądają podejrzanie:

Языковой пакет для поддержки размещения набора средств Microsoft Visual Studio Tools для работы с приложениями 2012 (x64) - RUS (HKLM\...\{25FB53C5-BE4C-3B6C-A0C9-D49A39227E1E}) (Version: 11.0.51108 - Microsoft Corporation) Hidden

Языковой пакет для поддержки размещения набора средств Microsoft Visual Studio Tools для работы с приложениями 2012 (x86) - RUS (HKLM-x32\...\{68DC347D-C1C0-3DE2-A53E-CCC71DA53E57}) (Version: 11.0.51108 - Microsoft Corporation) Hidden

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jaki był wynik skanowania na VirusTotal i Zemaną. Skanowałeś Zemaną także system? Problemem nie musi być wirus, tylko Eset.

explorer.exe w VirusTotal na zielony, a skan Zamana, pokazal tylko stare cracki i trainer do starych gier.

 

:(

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Niektóre cracki i trainery mogą być zainfekowane.

Zapoznaj się z regulaminem zakładania tematów dotyczących usunięcia złośliwego oprogramowania i wymaganych logów. Załóż prawidłowo temat, niech sprawdzą.

Jeżeli nie będzie zagrożeń, to dodaj plik do wyjątków w Esecie lub go wyinstaluj.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

Task: {BC851900-CD28-4B86-8F42-8990C47090D1} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2017-10-05] ()
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ograniczenia ? <==== UWAGA
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Jeśli po restarcie problem nie ustąpi, przeskanuj system całościowo za pomocą MBAM i usuń wszystko co wykryje. Wystarczy zainstalować wersję free.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Niektóre cracki i trainery mogą być zainfekowane.

Zapoznaj się z regulaminem zakładania tematów dotyczących usunięcia złośliwego oprogramowania i wymaganych logów. Załóż prawidłowo temat, niech sprawdzą.

Jeżeli nie będzie zagrożeń, to dodaj plik do wyjątków w Esecie lub go wyinstaluj.

 

Co do TYCH crackow i trainerow, to powstaly w czasach gdy o kryptowalutach jeszcze nikt nie slyszal ;)

 

Co do logow, to wszystko jest zgodnie z regulaminem, chyba ze masz na mysli brak logow z GMERa. Tych nie dalem, bo wyszedlem z zalozenia, ze zrobie jak ktos ich zarząda.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

Task: {BC851900-CD28-4B86-8F42-8990C47090D1} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [2017-10-05] ()
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ograniczenia ? <==== UWAGA
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

Jeśli po restarcie problem nie ustąpi, przeskanuj system całościowo za pomocą MBAM i usuń wszystko co wykryje. Wystarczy zainstalować wersję free.

 

Naprawa FRST zrobiona, MBAM przeskanowal i wywalil co znalazl, logi w zalacznikach.

Problem wystepuje nadal :(

mb.txt

Fixlog.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
Gość

W takim razie spróbuj dodać do wyjątków Eseta tą detekcję. Podobny temat.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

W takim razie spróbuj dodać do wyjątków Eseta tą detekcję. Podobny temat.

 

Dokladnie to samo co u mnie :(

 

Pisze do ESETa, moze cos pomoga ;) w koncu to ich program.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...