Odmiana zagrożenia Win64/CoinMiner.QG w pliku dwm.exe

Dla specjalistów Bezpieczeństwo
#1

Witam.
Nie mogę się pozbyć tego.
Przy prawie każdym uruchomieniu lapka…
z ESET’a:
Pamięć operacyjna » dwm.exe(1260)
“Wykrycie”>odmiana zagrożenia Win64/CoinMiner.QG potencjalnie niepożądana aplikacja"

Logi FRST:
FRST.txt (107,6 KB)
Addition.txt (55,6 KB)

1 polubienie
#2

Spróbuj tym:

#3

Już próbowałem.
Ten program jest płatny, a robi to samo co inne darmowe.
Próbowałem już AdwCleaner, Malwarebytes, CCleaner, i kilka innych takich jak ten twój płatny.
Nic nie dało.
ESET wykrywa przy uruchamianiu, mam do wyboru Wylecz lub Ignoruj, wiadomo wybieram to pierwsze i po tym zabiegu pyta czy uruchomić ponownie komputer teraz czy później. Oczywiście po uruchomieniu jest wszystko dobrze, nic nie wykrywa…
…lecz po następnym uruchomieniu jest to samo.

1 polubienie
#4

Witaj @zmysl84

Przejrzę logi i dam znać :wink:

1 polubienie
#5

Wykonaj poniższe instrukcje

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Dorota\Downloads
    fixlist.txt (9,2 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy.
  4. Pobierz ADWCleaner
  5. Uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść
  6. Wklej plik wynikowy.
2 polubienia
#6

Z FRST:
Fixlog.txt (22,3 KB)
Z AdwCleaner:
AdwCleaner[C02].txt (1,8 KB)

Niestety, ale nadal to samo po ponownym uruchomieniu.

eset
eset.jpg590×544 71.3 KB

#7

Użyj teraz RogueKiller
Wyłącz ESET na czas skanowania.
Po przeskanowaniu (prawdopodobnie po restarcie) pojawi się plik wynikowy
Wstaw go do wglądu

1 polubienie
#8

Z RogueKiller:
as_7AD7.tmp.txt (3,9 KB)

#9

Teraz

  • Pobierz MalwareBytes MBAM (wersja NIE 3.8.3)

  • Pobierz RKill

  • Wyłącz ESET na czas skanowania.

  • Zamknij wszystkie aktywne programy i przeglądarki.

  • Uruchom RKill, przeskanuj system, może pojawić się czarny ekran przed zakończeniem skanowania. Zapisz plik wynikowy do późniejszego wglądu.
    Nie restartuj komputera po skończonym skanowaniu

  • Zainstaluj MBAM, zaznacz na końcu, aby uruchomił się po zakończeniu instalacji.

  • Wejdź w Ustawienia w Prawym górnym rogu

  • Zakładka Bezpieczeństwo

  • W Opcjach skanowania zaznacz trzy pierwsze z czterech dostępnych

  • Wróć do Głównego Menu

  • Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

1 polubienie
#10

z Malwarebytes:
mbam.txt (2,4 KB)

z RKill
Rkill.txt (2,1 KB)

I nadal się pokazuje komunikat :frowning:

#11

Wyłącz ESET
Uruchom FRST i zaznacz dodatkowo Lista BCD
obraz
Zrób skan FRST i wstaw pliki do wglądu

1 polubienie
#12

FRST.txt (56,7 KB)
Addition.txt (48,5 KB)

1 polubienie
#13
  1. Wyłącz ESET
  2. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Dorota\Downloads
    fixlist.txt (3,1 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  3. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  4. Po restarcie wklej plik wynikowy.
  5. Pobierz ADWCleaner
  6. Wyłącz ESET
  7. Uruchom z Uprawnieniami Administratora, uruchom skanowanie.
    Jeśli znajdzie linie z Preinstalled to odznacz, resztę oczyść
  8. Wklej plik wynikowy.
1 polubienie
#14

Fixlog.txt (13,5 KB)
AdwCleaner[C03].txt (1,9 KB)

I jest to samo. Wygląda na to, że tak można w kółko.
Dlaczego tylko ESET to wykrywa?

#15

Może to być False/Positiv
Oto jego skan po wyleczeniu
VirusTotal

Jest jeszcze jeden plik, który muszę sprawdzić (dziś nie zdążę)

Zrób skan ESET Online
Wyłącz Twój ESET i wykonaj poniższe instrukcje

  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Program pobierze Aktualizacje modułu skanowania
  • Automatycznie rozpocznie się Szybkie skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Wersję próbną odznacz i wyłącz
  • Udostępnij plik raportu

Następnie przejdź w Tryb Awaryjny i zrób skan FRST
Wstaw logi do wglądu

Jeśli to możliwe, to nie używaj tego komputera do płatności, maili, itp.

1 polubienie
#16

esetonlinescanner.txt (1,2 KB)
FRST.txt (43 KB)
Addition.txt (40,5 KB)

Nadal wykrywa.

#17

Przypuszczam, że to wina uTorrent, nie tylko u ciebie

#18

Po takiej sugestii od @iJuliusz jedyne co zrobiłbym z tym systemem to totalnie go zaorał.

1 polubienie
#19

Tylko, że to nie jest od początku jak mam uTorrent, więc podejrzewam, że tu nie leży wina. Przez uTorrent nie pamietam kiedy coś pobierałem ostatnio. Po prostu jest bo jest.
Najlepsze jest to, że gdy ESET wykrywa tę infekcję i dam ‘Wylecz’, to zaraz po tym po skanowaniu nie widzi już go; dopiero po drugim kolejnym uruchomieniu komputera.

P.S. To jest mój główny komputer właśnie do maili, ebay, amazon, m.in. płatności, itp.

#20

Masz problem ze sprzętem co wykazuje twój pierwszy Addition log. Dotyczy tego:
" Error: (12/11/2020 04:19:04 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT)
Description: Wystąpił krytyczny błąd sprzętowy.

Zgłoszone przez składnik: rdzeń procesora
Źródło błędu: 3
Typ błędu: 10
Identyfikator kontrolera APIC procesora: 1

Masz problem z usługą luafv
Jest cos nie tak z aplikacją Eset, problem z plikiem eamsi.dll