Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Антивирус постоянно удаляет файл майнера.

RSS
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 09.02.2023 13:44:43
Каждый раз, когда я играю, смотрю ютуб, делаю разные дела, антивирусник находит неизвестный файл zworker9(по названию понял что майнер), и докапывает меня уведомлениями. Я их уже отключил, но антивирус удалил один и тот же файл более 300 раз(наверно, точно не считал, но больше 100 точно есть). На всякий случай прикрепил скриншот одного из файлов в карантине. прошу помочь, это длится уже примерно год!

Каждые 10-30 минут антивирус удаляет один и тот же файл майнера, а сам майнер я не могу найти.

На всякий случай скриншот ещё файлом скину
фото.png (26.95 КБ)

Ответы

Пред. 1 2
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 11.02.2023 00:48:20
Цитата
RP55 RP55 написал:
В AdwCleaner оставить: PUP.Optional.Legacy             Visual Bookmarks - [email protected] ( снять чек бокс  [V] )

Остальное удаляем.

Пишем по результату очистки системы.
Здравствуйте! я не нашёл visual bookmarks так что удалил всё. Результат таков: ноутбук меньше шумит, больше производительности в играх, в диспетчере задач меньше нагрузка цп. Спасибо за помощь!
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.02.2023 05:01:17
Цитата
Вячеслав Михайлов написал:
В папке пользователи нету данного пользователя, скорее всего он скрыт или что то вроде того. Подскажите пожалуйста, как удалить этого запись злоумышленника!

Сохраните файл fixlist.txt в папку откуда запускаете FRST.exe
Запускаем FRST.exe от имени Администратора, дождитесь завершения процесса проверки обновления, когда программа будет готова к использованию.
Нажмите кнопку "Исправить" (Fix)
FRST автоматически выполнит скрипт и перезагрузит систему
после перезагрузки системы, создайте, пожалуйста, новые логи FRST (FRST.txt и Addition.txt) для контроля.
[ Как создать образ автозапуска? ]
 
Вячеслав Михайлов
Вячеслав Михайлов
Пользователь
Сообщений: 18
Баллов: 9
Регистрация: 09.02.2023
Размещено 11.02.2023 07:11:58
Цитата
santy написал:
Цитата
 Вячеслав Михайлов  написал:
В папке пользователи нету данного пользователя, скорее всего он скрыт или что то вроде того. Подскажите пожалуйста, как удалить этого запись злоумышленника!
Сохраните файл fixlist.txt в папку откуда запускаете FRST.exe
Запускаем FRST.exe от имени Администратора, дождитесь завершения процесса проверки обновления, когда программа будет готова к использованию.
Нажмите кнопку "Исправить" (Fix)
FRST автоматически выполнит скрипт и перезагрузит систему
после перезагрузки системы, создайте, пожалуйста, новые логи FRST (FRST.txt и Addition.txt) для контроля
Здравствуйте ещё раз! Я сделал новые файлы, я их прикрепил(дополнительно я добавил fixlog). Хочу сказать, что после фикса у меня выходит из всех аккаунтов на этом устройстве, это так и должно быть?
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.02.2023 08:52:06
Цитата
Вячеслав Михайлов написал:
Хочу сказать, что после фикса у меня выходит из всех аккаунтов на этом устройстве, это так и должно быть?
Судя по fixlog учетка успешно удалена.
John (S-1-5-21-2823737874-2015374813-3254209834-1002 - Administrator - Enabled) => C:\Users\John.ACER => успешно удалены
+
это еще надо зачистить:
2023-01-28 19:08 - 2022-04-29 20:26 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2023-01-10 10:34 C:\ProgramData\ESET
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 11.02.2023 09:56:04
Цитата
santy написал:
2023-01-10 10:34 C:\ProgramData\ESET

Все блокирующие записи созданы: 2022-04-29 20:26
В системе установлен антивирус - обновление модулей в папке от 2023-01-10 10:34 - как раз говорит что всё в порядке.
( В это время был установлен сам антивирус ESET Endpoint Antivirus  2023-01-10 10:34 )
т.е. удалять не надо.
Изменено: RP55 RP55 - 11.02.2023 10:02:21
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 11.02.2023 10:26:11
Цитата
RP55 RP55 написал:
т.е. удалять не надо.
Скорее всего, ты прав. Непонятно, по какой причине каталог попал в заблокированные. в список Flock
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 11.02.2023 10:36:32
Цитата
santy написал:
Непонятно, по какой причине каталог попал в заблокированные. в список Flock
Каталог до установки антивируса наверняка был заблокирован ( но видимо антивирус смог преодолеть эти ограничения ).
Возможно что-то "унаследовалось" от ранее созданного каталога.
Возможно это работа HIPS\самозащиты антивируса.
или же всё всё это вместе...
 
Пред. 1 2
Читают тему