Вернуться   Форум > Помощь Зрителям > Советы зрителям: вопросы и ответы > Компьютерная безопасность
Регистрация Справка Пользователи Календарь Поиск Сообщения за день Все разделы прочитаны

Ответ
 
Опции темы Поиск в этой теме
Старый 15.05.2017, 19:04   #1
skypeme
Сообщения: n/a
Антивирусники не реагировали!!!

Пару дней назад мой ПК был чем-то заражен (что-то похожее на майнер, хз). Может кто-то столкнется с тем же и ему поможет то, что делал я. На днях заметил странную активность жесткого диска, при практически полном отсутствии обращений к нему с моей стороны. Открыл диспетчер задач и тут же обращения к диску пропали, а в диспетчере активности не было. После закрытия диспетчера задач буквально через минуту та же история...

Первый шаг: включил плагин Rainmetera (можно попробывать что-то другое что тоже отслеживает) который показывает активное приложение и нагрузку на процессор.
Тут я увидел приложение WINSec.exe из папки C:Windowssecurity нагружает процессор под 80-90%, а при открытии диспетчера оно выгружается.))
В общем решил этот файл удалить (но в тоже время копию закинуть в архив под паролем, на случай креша)
Но не тут-то было, через примерно несколько минут я увидел туже активность процессора и диска от этого файла (он появлялся заново).
Скормил антивирусникам (Avast, Dr.Web CureIt! ну и конечно Kaspersky Removal Tool) сам файл и проверил все место на жестком, но они в упор ничего не находили!!! Придется обходится без антивирусников.

Второй шаг: Установил программу Process Monitor (чтобы отследить какой файл и откуда запускается перед появлением WINSec.exe) и фаерволл дабы отследить может докачивает с нета (закрыл все подключения и ждал).
После очередного удаления WINSec.exe, Process Monitor показал на файл secscan.exe в папке C:Windowsprefetch и сразу сработал фаерволл с указанием на это файл и попыткой выйти в интернет.

Шаг третий: Удалил WINSec.exe и все файлы из папки prefetch (так как нужные файлы для ускорения будут созданы системой заново). Затем почистил реестр с упоминанием названия данных файлов WINSec и secscan.(предварительно экспортировал реестр). Полет нормальный,никаких ошибок и никакой активности!

Да и еще на всякий случай, так как это совпало с датой масштабной хакерской атаки на компьютеры по всему миру из-за дыры в windows для АНБ США, я поставил заплатку для своей Windows 7 x64 - //download.windowsupdate.com/d/...2d8c4e92b3.msu
Может это тоже из-за этой дыры в Windows, но самое обидное что не один антивирусник не реагировал на это...
  Редактировать/Удалить сообщение Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)
 
Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск


Опции администрирования:


Часовой пояс GMT +3, время: 07:28.