15.05.2017, 19:04 | #1 |
Сообщения: n/a
|
Антивирусники не реагировали!!!
Пару дней назад мой ПК был чем-то заражен (что-то похожее на майнер, хз). Может кто-то столкнется с тем же и ему поможет то, что делал я. На днях заметил странную активность жесткого диска, при практически полном отсутствии обращений к нему с моей стороны. Открыл диспетчер задач и тут же обращения к диску пропали, а в диспетчере активности не было. После закрытия диспетчера задач буквально через минуту та же история...
Первый шаг: включил плагин Rainmetera (можно попробывать что-то другое что тоже отслеживает) который показывает активное приложение и нагрузку на процессор. Тут я увидел приложение WINSec.exe из папки C:Windowssecurity нагружает процессор под 80-90%, а при открытии диспетчера оно выгружается.)) В общем решил этот файл удалить (но в тоже время копию закинуть в архив под паролем, на случай креша) Но не тут-то было, через примерно несколько минут я увидел туже активность процессора и диска от этого файла (он появлялся заново). Скормил антивирусникам (Avast, Dr.Web CureIt! ну и конечно Kaspersky Removal Tool) сам файл и проверил все место на жестком, но они в упор ничего не находили!!! Придется обходится без антивирусников. Второй шаг: Установил программу Process Monitor (чтобы отследить какой файл и откуда запускается перед появлением WINSec.exe) и фаерволл дабы отследить может докачивает с нета (закрыл все подключения и ждал). После очередного удаления WINSec.exe, Process Monitor показал на файл secscan.exe в папке C:Windowsprefetch и сразу сработал фаерволл с указанием на это файл и попыткой выйти в интернет. Шаг третий: Удалил WINSec.exe и все файлы из папки prefetch (так как нужные файлы для ускорения будут созданы системой заново). Затем почистил реестр с упоминанием названия данных файлов WINSec и secscan.(предварительно экспортировал реестр). Полет нормальный,никаких ошибок и никакой активности! Да и еще на всякий случай, так как это совпало с датой масштабной хакерской атаки на компьютеры по всему миру из-за дыры в windows для АНБ США, я поставил заплатку для своей Windows 7 x64 - //download.windowsupdate.com/d/...2d8c4e92b3.msu Может это тоже из-за этой дыры в Windows, но самое обидное что не один антивирусник не реагировал на это... |