Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Антивирус постоянно удаляет файл майнера.

1 2 След.
RSS
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 09.02.2023 13:44:43
Каждый раз, когда я играю, смотрю ютуб, делаю разные дела, антивирусник находит неизвестный файл zworker9(по названию понял что майнер), и докапывает меня уведомлениями. Я их уже отключил, но антивирус удалил один и тот же файл более 300 раз(наверно, точно не считал, но больше 100 точно есть). На всякий случай прикрепил скриншот одного из файлов в карантине. прошу помочь, это длится уже примерно год!

Каждые 10-30 минут антивирус удаляет один и тот же файл майнера, а сам майнер я не могу найти.

На всякий случай скриншот ещё файлом скину
фото.png (26.95 КБ)
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 09.02.2023 13:48:40
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 10.02.2023 05:11:02
Цитата
RP55 RP55 написал:
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
Здравствуйте! всё сделал по инструкции, вот образ автозапуска.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.02.2023 07:42:13
@Вячеслав,

Сохраните из вложений нашего сообщения файл scr01.txt в папку с uVS
закройте все браузеры и почтовые программы, сохраните и закройте все открытые документы
далее,
запускаем start.exe из папки с uvs от имени Администратора.
далее-текущий пользователь
в главном меню выбираем "Скрипт"-"выполнить скрипт из файла"
в диалоге выбираем файл scr01.txt из папки uVS
uVS автоматически выполнит очистку системы и перегрузит ее

далее в нормальном режиме
добавьте дополнительно логи FRST
https://forum.esetnod32.ru/forum9/topic2798/

Выложите файлы FRST.txt, Additiom.txt во вложение вашего сообщения.
[ Как создать образ автозапуска? ]
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 10.02.2023 13:19:45
Здравствуйте! спасибо что помогли! по вашей инструкции всё сделал, вот доп. файлы!
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 10.02.2023 13:50:59
1) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
"Инфор... Панель\Результаты Проверки" для Mail.Ru и Yandex снимите [V]
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 10.02.2023 14:13:00
Здравствуйте! я немного не разобрался с AnwCleaner из за другого интерфейса. Но я сделал фикслог и у меня есть файлы от AdwCleaner. их 3, смотрите
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 10.02.2023 14:22:38
Эту учетную запись еще удалите, это учетная запись злоумышленников при установке майнера Microsofthost
John (S-1-5-21-2823737874-2015374813-3254209834-1002 - Administrator - Enabled) => C:\Users\John.ACER
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 10.02.2023 14:26:09
В AdwCleaner оставить: PUP.Optional.Legacy             Visual Bookmarks - [email protected] ( снять чек бокс  [V] )

Остальное удаляем.

Пишем по результату очистки системы.
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 11.02.2023 00:43:35
Цитата
santy написал:
Эту учетную запись еще удалите, это учетная запись злоумышленников при установке майнера Microsofthost
John (S-1-5-21-2823737874-2015374813-3254209834-1002 - Administrator - Enabled) => C:\Users\John.ACER
Здравствуйте ещё раз! В папке пользователи нету данного пользователя, скорее всего он скрыт или что то вроде того. Подскажите пожалуйста, как удалить этого запись злоумышленника!
 
1 2 След.
Читают тему