trojan.win32.miner.azf

[GelenBagen]

В общем, скачал антивирус Kaspersky total security, выполнил проверку и он нашел вирус trojan.win32.miner.azf , по адресу c:\Windows\Fonts\wuauser.exe0. Нажимаю(в антивирусе) "устранить", касперский отвечает, мол лечение не возможно, и я нажимаю "удалить". Далее ничего не происходит, в интерфейсе антивируса, рядом с вирусом крутится кружок загрузки, а потом красный воскл знак.
Пробовал удалить файл через тотл командр, но не выходит. Пишет "файл не может быть удален. Снимите защиту от записи." (это с правами админа).

Хотел удалить через Unlocker, но он не видит такого файла.
Так же если в панели управления виндовс включить видимость всех файлов и папок даже системных, то все равно этого файла wuauser.exe0 не видно(только в тотал командр его можно увидеть).

CollectionLog-2017.06.29-16.53.zip

Изменено 29 июня, 2017 пользователем GelenBagen

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 StopService('4F954B670366EE75');
 StopService('4F954CE3B35897F5');
 QuarantineFile('C:\Windows\TEMP\298B53D.sys', '');
 QuarantineFile('C:\Windows\TEMP\34458CF.sys', '');
 QuarantineFile('C:\Windows\Fonts\wuauser.exe0', '');
 DeleteFile('C:\Windows\Fonts\wuauser.exe0', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

[GelenBagen]

Все сдал. Файл вроде удалился. Спасибо.
 

Ответ от newvirus@kaspersky.com

 

[KLAN-6465181259]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.
В следующих файлах обнаружен вредоносный код:
wuauser.exe0 - Trojan.Win32.Miner.azf
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

MD5 карантина: 46B231D5F4AF58D6F8B2334B20F2AFDA
Размер файла: 63481617 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина

CollectionLog-2017.06.29-19.27.zip

Изменено 29 июня, 2017 пользователем GelenBagen

[regist]

1)

Ace Stream Media 3.0.12 [2015/07/22 02:02:57]-->C:\Users\Gelen\AppData\Roaming\ACEStream\Uninstall.exe

деинсталируйте.

 

2) Что с проблемой?

[GelenBagen]

2). Файл вроде удалился. Спасибо.

1). А что не так с ACEStream? Я просто пользуюсь данным плеером часто.

[regist]

 

 

Я просто пользуюсь данным плеером часто.

А вы хоть читали его лицензионное соглашение перед установкой (на что вы нажали согласны)? И кстати, в отличие от нормальных прог у вас на компе нету копии этого соглашения.

 

И почитайте, ещё про эту дрянь https://forum.kaspersky.com/index.php?showtopic=306365&st=20

Так что удаляйте его и его расширение из браузера. Его автор по сути просто мошенник (хотя виноваты по сути вы, так как вы сами со всем этим согласились при установке программы).

И проблема решена?

[GelenBagen]

Спасибо за ссылку, было интересно почитать. Но на самом деле, как мне кажется, тут нужно исходить из реального положения дел, т.е. я о том, что никто не читает эти пользовательские соглашения и сложно представить, что это будет происходить. И тут разработчик софта(я о acestream), должен максимально доступным способом доводить информацию до пользователя, что именно он(acestream) инициатор той рекламы на странице которую наблюдает пользователь.
Мне нужно смотреть трансляции матчей, попробую поискать альтернативу, но кто сказал, что там будет не так же.
В любом случае спасибо.

 

 

 

И проблема решена?

 

 

Я так понял, я должен утвердительно "да" сказать, что бы вы могли тему закрыть)
Да, решена.

Изменено 30 июня, 2017 пользователем GelenBagen

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.