Добрый день! Norton постоянно уведомляет о заблокированной попытке вторжения Miner.Bitcoinminer Activity 7 и Miner.Bitcoinminer Activity 9.
Насколько я понимаю, источник - это файл TIWORKER.EXE, который прописывается в папке C:\Windows\SysWOW64\… (в разных подпапках типа \af-ZA\S-1-5-47\)
Средствами Нортона избавиться от гадости не получается. Нужна помощь сообщества.
Заранее спасибо!
Последний раз редактировалось Streletz; 09.08.2018 в 14:49.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Streletz, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Готово.
По логам всё чисто сейчас.
Это вчера не оно было?Возможно, как сетевой червь распространяется, в автозагрузке ничего нет.Error: (08/09/2018 01:39:26 AM) (Source: Application Error) (EventID: 1000) (User: )
Description: Имя сбойного приложения: RB_1.3.73.86.exe, версия: 2.7.22.25, метка времени: 0x5a3200ff
Имя сбойного модуля: ntdll.dll, версия: 10.0.17134.165, метка времени: 0x845de87a
Код исключения: 0xc0000374
Смещение ошибки: 0x000d8879
Идентификатор сбойного процесса: 0x2a68
Время запуска сбойного приложения: 0x01d42f68a9009deb
Путь сбойного приложения: C:\WINDOWS\SysWOW64\Microsoft\Protect\S-1-58-86\RB_1.3.73.86.exe
Путь сбойного модуля: C:\WINDOWS\SYSTEM32\ntdll.dll
Идентификатор отчета: 590e35e1-2079-4dfd-979b-41bc9509fa72
Сделайте лог сканирования МВАМ.
WBR,
Vadim
MBAM показывает, что все чисто.
Во вложении архив с результатом проверки MBAM и лог Norton-а по поводу атак. И также скриншот с подробностями последней на данный момент атаки. где указан TIWORKER.EXE.
Сбой в Вашей цитате, по-моему, не имеет отношения к проблеме.
TIWORKER.EXE - штатный системный процесс, только сомневаюсь я, что по такому путион должен находиться, если там есть этот файл - проверьте на virustotal.com и дайте ссылку на результат.Код:c:\Windows\SysWOW64\tg-Cyrl-TJ\S_1-4-10
WBR,
Vadim
Хозяин компьютера (ноутбук) уехал в командировку, так что проверить быстро не смогу.
Ок, ждём.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
