Что это за файл, и как его удалить?

Question

[Единорог Безрогов]

Что это за файл? как его удалить? удалял, выдавало мол запущен процесс, по имени файла нашел процесс в process hacker c:\windows\system32\tcpsvcs.exe. почитал в интернете, вроде системный процесс, но грузил проц в простое. заблокировал, папка по пути C:\ProgramData\TerraDownloader-33617193-15b6-4813-87e3-a79e93c1528f и все файлы удалились без проблем, значит связаны подумал я. но файл со скрина всё равно каждый день(перезапуск) пытается попасть в автозагрузку. удалю AnVir"ом". как удалить раз и навсегда? в интернете ничего не нашел по этому файлу

Comments

[Дмитрий]

Качаете лайф линух дистрибутив, даже установка не нужна, загружаетесь и удаляете

[Adamos]

Дмитрий, ... винду нахрен ;)

[#]

Adamos, тут все грустнее..
автора клинит зарегаться на dr.web для скачки CureIt ...
как то энтузиазм поддержки после этого угасает ))

[Единорог Безрогов]

#, я там уже решался. И что? Опять регаться, пишет нет моей почты.

[#]

Единорог Безрогов, я запутался.. несколько минут назад, Вы отписали о скачке и скане... с чем поздравляю ))
камент выше был раньше..
кстати - а откуда качали? если с оригинала норм..

Опять регаться, пишет нет моей почты.

может в ящике запрос на подтверждение?..
повторюсь - если стащили свежий сканер с оригинала, теперь надо вернуться к повседневной эксплуатации. естественно поглядывая на симптомы рецидива..
и опять же - если курик не вычистил достаточно тщательно, то и нет смысла в изучении косяков регистрации. он все равно не справился (будем надеяться что справился )).. если нет, либо другие инструменты, либо перезаливка винды по чистой. делов то? )))

[#]

Единорог Безрогов, а моя критика была в целях воспитательных.. мне под 60.. надеюсь что могу умеренно это себе позволять.. ;))

[Дмитрий]

#, я как то смотрел там курейт лайф не обновлялся давно

[#]

Дмитрий, на сколько давно?.. было бы печалькой потерять довольно эффективный инструмент

[Единорог Безрогов]

#, 3 числа обновился. До 14 действительно. Не знаю о чем он

[#]

Дмитрий, у каспера когда то был аналог... но они перемудрили с навязчивым маркетингом.. по тому давно не смотрел туда

[Единорог Безрогов]

#, они сами и вирусы писали и заражали, насколько я наслышан.

[#]

Единорог Безрогов, 3го?.. это норм ))

[#]

Единорог Безрогов, про каспера? )))
... эммм... есть вещи, которые сейчас не особо стоит публично обсуждать ))
.. а еще мысль мелькнула - Ваш вопрос всколыхнул не частую движуху, поздравляю ;)))

[Единорог Безрогов]

#, был бы толк. Подозреваю что это было 2 числа, тогда в браузере "обновилось" расширение, и отображалось в программах. Но это же расширение стояло у меня долго, и только сейчас заразило?

[#]

Единорог Безрогов, про расширение браузера впервые слышу, при всей активности комментирования..
и снова интересно - какой именно браузер?
допустим хром, и расширения из гуглплей..
но тут не лучшие новости - заражения паразитами (как и намеренное внедрение авторами), к сожалению не такая уж и редкость..
.. но тогда и время реагирования антивирусных инструментов, от суток до месяцев - тоже норма.. вопрос в том, как быстро паразит запалится у спеца, или хотя бы внимательного пользователя, знающего куда рапортовать об аномальном поведении ))

[Единорог Безрогов]

#, Vivaldi браузер. От разработчиков первых версий opera. Не помог доктор. Значит переустановлю. На всё обустройство уйдет день, без напряга и спешки. А тут мозг плавишь целый день, и так и сяк и хоть бы хны

[Дмитрий]

#, ну точно не скажу, но там что то типо 900 версия

[Единорог Безрогов]

Дмитрий, версия Dr.Web CureIt! 9.1.6.04261 (04.12.2023) у меня

[Дмитрий]

Единорог Безрогов, я про образ их, который лайф

[Единорог Безрогов]

Дмитрий, аа

[#]

Единорог Безрогов,

А тут мозг плавишь целый день, и так и сяк и хоть бы хны

увы, бывает ((
сам перезаливаю систему не реже чем раз в 2-3 года. в том числе и по поводу подозрений на зловредов. а бывают и накопления косяков мс... или когда и своих.. жиза ))

[Единорог Безрогов]

#, да, я сам в начале года ставил Винду потому что в прошлой просто пропали все названия меню, приложений . При этом на втором ПК стоит точно такая же версия и вообще ни каких проблем уже года 3 стоит. Когда искал нужную версию, вообще за дня два раз 20-30 переустанавливал винду. Потому что хотел именно ту версию, но забыл ее номер и ссылку на сборку. Вот думаю к ней вернуться. Раньше как-то "писец винда сломалась, всё пропало". Сейчас "блин, опять всё настраивать" по крайней мере есть возможность сохранить что нужно, настройки приложений , профили прог и тп. Да и у меня сборка без защитника. Вообще без антивируса сижу, и это первый раз когда переустанавливаю из-за вируса за лет 5. Потому что защитник Виндоус удалял исполняемые файлы прог которые мне нужны.

[#]

Единорог Безрогов, кхмм..
ну.. опыт есть )).. и это хорошо ))

защитник Виндоус удалял исполняемые файлы прог которые мне нужны

сам сижу на родном антивире (именно дефендер) считаю что надо + но и не надо ни чего другого..
дальше - у дефендера есть настройки, а там фича "папки исключений" ;))
ну и в случае реакции - выбор "разрешить" ))
ну а при загрузке из источников, где нет уверенности:
- загружаю в папку из числа исключений (допустим wrz, от слова варез )))
- и пробую еще скан на virustotal (кликабельно!) ;))

[Единорог Безрогов]

#, да пользовался защитником, добавлял в исключения, после перезагрузки всё пропадало и файлы удалял...

Answer 1

[pindschik]

1) То, что tcpsvcs.exe - системный процесс, еще не означает, что он не был подменен, в него не инжектирован вредоносный код (в том числе только в оперативке, а не на диске).

2) Вы установили себе вредоносное ПО. То, подо что оно мимикрирует - не имеет значения. То ли это псевдо-торент, то ли "скачивальщик", то ли показыватель баннеров. Надо понимать - злоумышленникам нужен доступ к вашему ПК и он был получен, при чем с админскими правами. Название компании - это просто для вашего самоуспокоения, дескать это такое своеобразное ПО.

3) Схема троянского ПО обычно такая: сайт-приманка; "дроп" - компонент который забрасывает на ваш комп
полезную нагрузку; "троян" - сам компонент зловреда с полезной нагрузкой и удаленным управлением; дальше идет сервис в даркнете по продаже услуг, связанных с зараженными ПК, согласно покупок сервиса - вам будет по необходимости инсталлироваться то вредоносное ПО, на которое есть спрос: кража банковских данных, аккаунтов в соцсетях и мессенджерах, майнинг крипты и т.д.

4) Ваши действия сейчас не соответствуют угрозе. У вас есть немного форы, пока злоумышленники продают базу в даркнете. Потом ее кто-то купит и начнется веселье. Срочно необходимо:
а) с чистого устройства немедленно сменить все пароли доступа которые когда либо как угодно были на вашем ПК, в том числе в хранилище гугла. Включить двухфакторку везде, где это возможно.
б) предупредить всех ваших контактов в соцсетях, мессенджерах и т.д. - что вы взломаны, и денег никому не давать.
с) обойти все банки, которыми вы пользуетесь - заблокировать все онлайн операции и приложение.
... и только уже потом снести систему полностью, включая загрузочные разделы на жестком диске, перепрошить заново BIOS, и ставить винду по новой, с образа MSDN.

Ну и молиться, что всё обойдется только этим, а легкомыслие - не приведет к действительно серьезному ущербу.
Ну или быть легкомысленным и дальше, и однажды получите "привет" существенно серьезнее.

Comments

[Isafu-]

Ещё забыли добавить, что желательно сменить место проживания и работу

[pindschik]

Зато написал последнюю строчку...
Зачастую люди вообще не понимают, чем им грозит утечка важных данных.
"Ха ха, у меня на карте 200 рублей, пусть воруют! Ой! А как это у меня кредит в микрофинансовой организации на 1 500 000 взятый с подтверждением на госуслугах?"
Смех смехом, но может придется менять место жительства и работу, чтоб избежать приставов.

[Isafu-]

pindschik, а разве чтобы взять кредит/микрозайм для этого не нужны скан паспорта, фото с паспортом, иные подтверждения личности? Даже на малую сумму.

[Isafu-]

pindschik, не знаю как работают гос. услуги в России, но думаю, чтобы взять кредит в банке/онлайн нужно какое-то подтверждение личности/наличие этой персоны.

[Единорог Безрогов]

преувеличиваешь...

[Isafu-]

Единорог Безрогов, а может приуменьшает? Расклад может быть любым, необходимо запомнить простые слова: антивирус не панацея, если не доверяешь источнику не качай, если скачал проверяй через виртуалку, которая никак не связана с основной машиной, используй песочницу, не давай пользоваться другому человеку своим компьютером, удаляй историю из браузера, надень шляпку из фольги.

[Единорог Безрогов]

Isafu-, действительно

[Вадим]

В данном случае это всего лишь майнер. Но он восстановится, там есть ещё служба с .dll, маскирующейся под системную. И, наверняка, ещё задание на запуск файла C:\Program Files\WProxy\WinProxy\WinProxy.exe
Лечим такое, но не со слов, а по логам. Обращайтесь:
virusinfo.info
safezone.cc
forum.kasperskyclub.ru
Сразу читаем правила раздела, создаём тему с логами.
На первых двух форумах я присутствую. Почему лечиться лучше там, а не спрашивать совета здесь - 2 основные причины:
1. Удобнее, ответят быстро и только компетентные специалисты.
2. Приватность, посторонние не увидят ваши логи, в которых может быть конфиденциальная информация.

[pindschik]

Isafu-, не, необязательно. Достаточно взломанных госуслуг.

[Единорог Безрогов]

pindschik, я не из России. И соответственно гос услуг нет

[pindschik]

Ну ни куда не делся способ - разослать всем контактам через whatsapp web просьбу срочно занять денег.
Да и вообще, "способов" там великое множество...

[Единорог Безрогов]

pindschik, у меня нет вацапа...

[pindschik]

Единорог Безрогов, поистине спокойно может жить только Агафья Лыкова :)
Могут быть украдены ваши пароли от домашней камеры наблюдения. Или от удаленки на работе. А потом там всё зашифруют...
Я - недели не проходит, сталкиваюсь с очередным разводом. Приходится быть параноиком. Вот только час назад звонили из Сбербанка, на Viber :)

Основная суть в том, что всё, что только может быть использовано против вас - будет выкрадено и использовано. А последствие - может быть отложенным, т.к. сбор ворованных данных делают одни, покупают и используют - другие.

[Единорог Безрогов]

pindschik, не знаю кто это. Удаленки нет, камер нет. Скучный не интересный человек.

[mayton2019]

Чел написал все по делу. Как говорил мой шеф - лучше перебздеть чем недобздеть.

Отметил решением.

[Adamos]

mayton2019, в этой поговорке корень "бд", а не "бзд".
А так, как это написано у вас, есть риск под премию Дарвина попасть...

[mayton2019]

Adamos, я даже не знаю что страшнее. Премия Дарвина или слить свои креды в сеть. Даже не знаю.

[pindschik]

mayton2019, оба хуже, но оба варианта вместе - еще хуже :)

[Adamos]

mayton2019, ну, вообще-то вся эта нарисованная апокалиптика здорово отдает даже не голливудщиной, а российскими сериалами, извините за выражение.
В реальности в общем случае гораздо легче развести лоха без всякой электроники, чем выкрав какие-то его данные. Ну, разве что обстукивание ботами контактов (которое, опять-таки, банальная социальная инженерия).
Самые страшные вирусы последних лет - это не воры паролей и учеток, а шифровальщики-вымогатели.

Впрочем, уворованные данные действительно могут _помочь_ развести данного конкретного лоха, если он упорствует в желании оставаться таковым :)

[mayton2019]

Adamos, напиши свой ответ на вопрос автора. Я думаю это будет честно.

[Adamos]

mayton2019, лучше отмечу ответом этот.
Он для ТС полезнее, ибо сказано: "б...дей надо п...дячить" (с).

[mayton2019]

Adamos, ну... обычно за критикой следует предложение.

[Adamos]

mayton2019, так я критиковал не ответ, а ваш комментарий, что в нем "все по делу" ;)
На самом же деле это хорошая, добротная... страшилка для самых маленьких.
А когда ТС чему-нибудь научится - он про этот вопрос давно забудет, и грузить его уточнениями и подробностями сейчас просто бессмысленно.

[pindschik]

Ребята, я просто описал несколько негативных сценариев, и простые четкие инструкции, как избежать проблем.
Нельзя в вашем социуме взять онлайн кредит - ну и прекрасно. А у кого-то можно. Сообщив код из смс позвонившему, да или просто - поставив на "помойка.ком" и госуслуги один и тот же пароль.
Но винду снести проще, чем это говно искать и выкусывать. Тем более, если вы админ. Просто на винду и "жентельменский" набор прог - мне надо 5 минут (есть готовый образ).
Нет у вас родственников и друзей, штош. Если у вас нету друга - вам его не потерять. И в долг нашему злоумышленнику никто не даст от вашего лица. А у нас тут можно кинуть просто по номеру телефона без комиссии более 1000 USD
Слышали про новый метод взлома BIOS черед OEM картинку? Потому и перепрошивать.
Где гарантия, что система поставлена в UEFI, а не на MBR, и что в загрузчике не подправлено? Значит удаляем разделы через diskpart

Говорят, что пессимист - это хорошо проинформированный оптимист. А я смотрю, для большинства стало откровением, какими способами можно получить еще один удар судьбы...

[Adamos]

pindschik, право, я не хотел вас обидеть, вы выполнили свой гражданский долг, вылив ТС за шиворот ведро холодной паранойи. Да не хулится ваше доброе!

Просто ну правда же - винду снести проще, и не ставить ее заново, пользоваться Линуксом, в котором не приходится качать всякое добро с помоек интернета и запускать его под администратором.
Довольно просто включить голову и не говорить никому код из СМС, в которой написано "никому не говорите этот код".
Просто не ставить себе на компьютер и смартфон помогаторы, которые могут помочь кому-то другому сделать что-то с вашим банком за вас.
Вполне реально не иметь ни одного друга, знакомого или родственника, готового поверить, что тебе понадобилась пятерка до зарплаты. Это отнюдь не означает - не иметь таковых вовсе ;)

Да, возможно, поймав реальный вирус, я бы тоже параноил, дул на воду и перешивал биосы. Но когда разбираешься в вопросе - как-то обходишься превентивной защитой (по сути - гигиеной) и живешь не в страхе.

[pindschik]

Adamos, Но.
Не будь дураков, одни умные и начитанные - админ бы остался без зарплаты. Так возрадуемся же, криптовымогателям и CCleaner, пинкам по системнику и IQ ниже 50!

[Adamos]

pindschik, более того: не будь армии пользователей, на которых столь успешно эксплуатируются zero-IQ-уязвимости, более опытным пользователям пришлось бы всерьез беспокоиться о безопасности. А так - достаточно не пополнять их ряды ;)

Answer 2

[#]

папка по пути C:\ProgramData\TerraDownloader-33617193-15b6-4813-87e3-a79e93c1528f и все файлы удалились без проблем

тут уже интересно. и вот почему, если бы был процесс запущенный из такой папки - файл был бы залочен, удаление не возможно.
ну и то что после удаления папки паразит снова воскресает, лишь подтверждает что это обманка.
есть вероятность тупо косяка реально системного процесса.
но все же лучше скан dr.web (с холодной загрузки и изготовленным на чистом компе), Process Monitor, Autoruns.
если не поможет - то возможно ответ pindschik, не на столько уж и параноялен.. в современном мире угроз слишком много. увы ))

ps надеюсь скан был успешным ))
о рецидивах - если таки да. переустановка может и проще чем ломать голову в поисках решения.
повторюсь - тут важно уметь сохранять ценные данные и логины/пароли.
сам использую облака для синхронизации доков/файлов, для паролей keepassxc. хотя средства всех современных браузеров оч даже достойны. но для учеток в теже облака, все равно использую сложные генеренные пароли. а храню в том же keepassxc. есть как для винды, так и для линукс и андроид. возможно ios тоже ))

Answer 3

[Alexey Dmitriev]

Вы же видите в последней строке на скриншоте, что он найден в задаче планировщика задач?

Comments

[Единорог Безрогов]

да. но там пусто

[Единорог Безрогов]

перезагрузил пк, в планировщике нет такой задачи. или скрыт как и папка со скрина. пару дней назад появился этот файл. так что точно не должно быть его

[CityCat4]

Единорог Безрогов, Это может быть вирусяка. Качаете Dr.Web live (сборка для USB), пишете, грузитесь, сканируете тачку.

[Isafu-]

Единорог Безрогов, tcpsvcs это системный файл, он работает с сетью, по стандарту не является вредоностным, а что такое TerraDownloader?

[Единорог Безрогов]

Isafu-, вот именно что я сам не знаю что за TerraDownloader. без процесса tcpsvcs, TerraDownloader папка удаляется. и без процесса всё работает хорошо

[Isafu-]

Единорог Безрогов, т. е вы прочитали, что это за процесс, что он делает и не поняли почему этот Downloader не удаляется?

[Единорог Безрогов]

Isafu-, да

[Isafu-]

Единорог Безрогов, смысл в том, что этот Downloader использует процесс, аналогия такая же как с папкой и файлами, пока вы используете какой-то файл папка не подлежит удалению, с этим процессом такая же ситуация, если вы не знаете, что это за Downloader, то используйте утилиту от Windows Process Monitor, она покажет все задачи в Windows, так же можно проверить реестр на наличие ключей оставшихся от Downloader'а.

[Единорог Безрогов]

Isafu-, "так же можно проверить реестр на наличие ключей оставшихся от Downloader'а" как это сделать?

[Isafu-]

Единорог Безрогов, вот пути к taska'м
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tasks
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\Taskcache\Tree

[Единорог Безрогов]

Isafu-, это не похоже на то что нужно

[Isafu-]

Единорог Безрогов, значит используйте Process Monitor

[Единорог Безрогов]

Isafu-, не помимаю что нужно делать, можешь обьяснить? по названию ничего

[Isafu-]

Единорог Безрогов, скачиваете программу Process Monitor в ней будут отображаться все процессы, службы и т.д.

[Единорог Безрогов]

Isafu-, ну это понятно. а дальше?

[Isafu-]

Единорог Безрогов, ищите остатки от этого Downloader'а

[#]

Единорог Безрогов, в целом SysInternals вам в помощь. кроме Process Monitor, может еще поможет Autoruns из того же набора.
также поддержу идею сканирования с бутовской флешки Dr.Web. тут сразу еще советы:
- флешку лучше приготовить на стороннем (здоровом) компе
- загрузка на зараженном должна быть "холодная". то есть полное выключение. можно контрольно обесточить на пару минут. потом перехватывать подмену загрузочного устройство через биос

[Единорог Безрогов]

#, не знаю как через флешку сканировать, видимо мне проще переустановить винду. Если есть желание помочь можем в Дискорд созвониться

[#]

Единорог Безрогов, меня нет в дискорд. есть скайп в профиле и телега @argus_11
а про скан Dr.Web CureIt! - он сам все делает, и на каждом шагу подсказывает ))
главное накат свежей флешки на стороне + холодная загрузка.
перезаливка системы радикальный, но весь вероятно успешный выход из проблемы. если умеете сохранять личные данные и пароли ко множеству сайтов

[Единорог Безрогов]

#, как конкретно называется загрузка сканирования доктором с флешки? Не нахожу. Безопасный режим? Холодная загрузка?

[#]

Единорог Безрогов, мнда..
- ссылка же кликабельна в каменте выше
- про "холодную" расписал в каменте еще выше

[Единорог Безрогов]

#, с телефона не отображалась кликабельность. чтобы скачать введите имя фамилия и емейл. спасибо. и так почта спам ящиком стала

[#]

Единорог Безрогов, не вопрос - перезаливайти систему.. хозяин барин как говорится

[#]

Единорог Безрогов, данный ресурс не гарантирует идеальных ответов. он их вообще не гарантирует.
только дает вероятность, что кто то попытается дать совет

[#]

Единорог Безрогов, Др.Веб запросил регистрацию?... и опять - но в замен они дают бесплатный инструмент, с многолетней классной репутацией, оперативно обновляемый загрузочный образ.
.. а уж брать или нет - Ваш вольный выбор ))
.. паразита то где то хапнули на халяву? ))
.. и сюда прибежали ))
.. мнда )))

[Единорог Безрогов]

#, и офиц сайты прекрасно справляется с спамом.

[#]

Единорог Безрогов, есть еще вариант - пригласить спеца, оплатить услуги, а если из далека, то и дорогу, суточные.. обеспечить ночлегом и питанием...
или грызть гугл и слушать совет тут без лишних понтов. и да, не грех и на др.веб зарегистрироваться

[Единорог Безрогов]

#, тогда проще переустановить винду, потому что все "мастера" из города сделают куда меньше чем я. Нет, я не знаток и тп. Просто у нас в городе, мастера что-то вроде "о ты включил компьютер" всё чуть ли не Пентагон взломал

[#]

Единорог Безрогов, ок. за избавление от паранойи спама, могу обсудить услугу закачки для Вас dr.web.. но на частных условиях в привате. контакты уже были выше

[Единорог Безрогов]

#, благодарю за помощь, но уже скачал. Нашел два подозрительных файла, один с рандомным набором букв в названии, второй возможно ложное срабатывание, но нарушался на процесс клевер (прога для проводника, вкладки). Удалил. Посмотрим что будет дальше. Ну и включил фаэрвол. Полностью отключил интернет.

[#]

Единорог Безрогов, поздравляю с победой паранойи спама..
а по делу - все выглядит логично..
пишите что будет после включения интернета..
ну или если будете молчать, понадеемся что все успешно. удачи ))

[Единорог Безрогов]

#, оно и без интернета подавало признаки жизни, примерно через пол часа после включения. так что если не будет и завтра, то значит доктор помог. Пока тишина.

[#]

Единорог Безрогов, ну и стоило брыкаться по поводу регистрации? ))
нет, конечно надо время.. но особо не тяните без интернета..
с полчаса не проявится (хотя?.. на сколько быстро раньше вылезал? столько и стоит подождать)...
а потом в инет - чем быстрее проявится, тем быстрее более жесткие решения..
не проявится... ну славно было бы ))

[Единорог Безрогов]

#, ещё раз в безопасном режиме проверяю. Ну или винду переустановить. Это гораздо проще для меня чем ломать голову искать падлу эту.