В системе постоянно появляется троян. Как удалить?

Question

[andruxin]

В системной папке постоянно появляется троян. Антивирус регулярно его определяет и удаляет, но файл трояна появляется там вновь. Есть ли утилиты, чтоб отследить какие программы записывают файлы в определенную директорию? Файл формата «gHHHH.exe», HHHH - hex-код.
Главное антивирус всегда определяет разные виды вирусов — в основном трояны, но были и майнеры.

Answer 1

[Сергей]

Воспользуйся AutoRuns, он покажет все возможные типы автозагрузки и задачи планировщика, а подозрительные даже выделит красным. И Process Monitor, как советовал Stalker_RED (как работать с ним хорошо показаноздесь).

Comments

[res2001]

Добавлю отсебятины:
1.Удалите не известный софт, который может установиться в комплекте с другим софтом.
2.Загрузитесь с какого-либо live носителя, с него почистите каталоги %TEMP% всех пользователей, удалите подозрительные исполняемые файлы/каталоги в профилях пользователей и в системном каталоге.
3.Загрузитесь в нормальном режиме и воспользуйтесь autoruns, там удалите из автозагрузки все то что вы не сможете опознать.
4.Работайте на компе с правами пользователя, администратору и пользователю дайте нормальный пароль, включите контроль учетных записей (если выключен).

[Виктор]

res2001, к папкам %TEMP% я бы добавил папки System Volume Information, $RECYCLE.BIN и RECYCLER (Корзина) на всех разделах всех дисков. Не всё содержимое удастся удалить (то, что используется в данный момент, система не позволит), но что удастся - надо удалить.

Answer 2

[Александр]

Сноси систему, ставь чистую проверенную с закрытыми критичными дырами. Ты его не найдешь, раз пришол спросить здесь. Хотя если очень хочется можно попытаться, avz4, SysinternalsSuite в помощь. А еще может антивирус "шалить" - сам находит, сам лечит, показывает полезность.

Answer 3

[Stalker_RED]

Утилита называется Process Monitor, она же и обращения в реестр умеет отслеживать.

Настоятельно рекомендую воспользоваться AVZ.

Answer 4

[Артем Кайбагоров]

Попробуйте проверить компьютер сканером Zemana Anti-malware. Обычно она находит и удаляет подробные угрозы.

Answer 5

[Александр Слыжук]

Посмотреть автозагрузку компьютера и пользователя

Answer 6

[athacker]

В данном случае, антивирус у вас лечит последствия -- бинарник с рабочей нагрузкой. А дроппер либо висит в памяти и не оставляет следов, либо проламывается сквозь непропатченную дыру в системе с какой-либо другой машины в сети (или в интернете). Выводите сервак в оффлайн, грузитесь с какого-нибудь liveCD и проверяйте диски, желательно несколькими инструментами -- AVZ, DrWeb CureIT, ещё что-нибудь.

Затем надо запустить сервер в изолированном сегменте и проставить все обновления, причёмкрайне желательно выпускать в интернет не напрямую, а через прокси, с логированием всех запросов с сервера. После этого наблюдать.

Answer 7

[dmfun]

В планировщике может задача висеть. AVZ может прочитать.
Раз в день задача запускается и качает мусор.

Я бы также все лишние модули в профиле поудалял и почистил все временные папки.
Программы инсталлируется в Program Files, но у некоторого полезного софта типа дропбокса может быть инсталляция в профиль. Во всяком случае не думаю, что их много и их можно вручную проанализировать (для поиска файлов юзаю фар)