Что это за файл, и как его удалить?

Что это за файл? как его удалить? удалял, выдавало мол запущен процесс, по имени файла нашел процесс в process hacker c:\windows\system32\tcpsvcs.exe. почитал в интернете, вроде системный процесс, но грузил проц в простое. заблокировал, папка по пути C:\ProgramData\TerraDownloader-33617193-15b6-4813-87e3-a79e93c1528f и все файлы удалились без проблем, значит связаны подумал я. но файл со скрина всё равно каждый день(перезапуск) пытается попасть в автозагрузку. удалю AnVir"ом". как удалить раз и навсегда? в интернете ничего не нашел по этому файлу 656d7a0a875e5229097758.png
  • Вопрос задан
  • 1166 просмотров
Решения вопроса 2
pindschik
@pindschik
ФЫВА ОЛДЖ
1) То, что tcpsvcs.exe - системный процесс, еще не означает, что он не был подменен, в него не инжектирован вредоносный код (в том числе только в оперативке, а не на диске).

2) Вы установили себе вредоносное ПО. То, подо что оно мимикрирует - не имеет значения. То ли это псевдо-торент, то ли "скачивальщик", то ли показыватель баннеров. Надо понимать - злоумышленникам нужен доступ к вашему ПК и он был получен, при чем с админскими правами. Название компании - это просто для вашего самоуспокоения, дескать это такое своеобразное ПО.

3) Схема троянского ПО обычно такая: сайт-приманка; "дроп" - компонент который забрасывает на ваш комп
полезную нагрузку; "троян" - сам компонент зловреда с полезной нагрузкой и удаленным управлением; дальше идет сервис в даркнете по продаже услуг, связанных с зараженными ПК, согласно покупок сервиса - вам будет по необходимости инсталлироваться то вредоносное ПО, на которое есть спрос: кража банковских данных, аккаунтов в соцсетях и мессенджерах, майнинг крипты и т.д.

4) Ваши действия сейчас не соответствуют угрозе. У вас есть немного форы, пока злоумышленники продают базу в даркнете. Потом ее кто-то купит и начнется веселье. Срочно необходимо:
а) с чистого устройства немедленно сменить все пароли доступа которые когда либо как угодно были на вашем ПК, в том числе в хранилище гугла. Включить двухфакторку везде, где это возможно.
б) предупредить всех ваших контактов в соцсетях, мессенджерах и т.д. - что вы взломаны, и денег никому не давать.
с) обойти все банки, которыми вы пользуетесь - заблокировать все онлайн операции и приложение.
... и только уже потом снести систему полностью, включая загрузочные разделы на жестком диске, перепрошить заново BIOS, и ставить винду по новой, с образа MSDN.

Ну и молиться, что всё обойдется только этим, а легкомыслие - не приведет к действительно серьезному ущербу.
Ну или быть легкомысленным и дальше, и однажды получите "привет" существенно серьезнее.
Ответ написан
mindtester
@mindtester Куратор тега Windows
http://iczin.su/hexagram_48
папка по пути C:\ProgramData\TerraDownloader-33617193-15b6-4813-87e3-a79e93c1528f и все файлы удалились без проблем
тут уже интересно. и вот почему, если бы был процесс запущенный из такой папки - файл был бы залочен, удаление не возможно.
ну и то что после удаления папки паразит снова воскресает, лишь подтверждает что это обманка.
есть вероятность тупо косяка реально системного процесса.
но все же лучше скан dr.web (с холодной загрузки и изготовленным на чистом компе), Process Monitor, Autoruns.
если не поможет - то возможно ответ pindschik, не на столько уж и параноялен.. в современном мире угроз слишком много. увы ))

ps надеюсь скан был успешным ))
о рецидивах - если таки да. переустановка может и проще чем ломать голову в поисках решения.
повторюсь - тут важно уметь сохранять ценные данные и логины/пароли.
сам использую облака для синхронизации доков/файлов, для паролей keepassxc. хотя средства всех современных браузеров оч даже достойны. но для учеток в теже облака, все равно использую сложные генеренные пароли. а храню в том же keepassxc. есть как для винды, так и для линукс и андроид. возможно ios тоже ))
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Вы же видите в последней строке на скриншоте, что он найден в задаче планировщика задач?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы