Задать вопрос
andruxin
@andruxin

В системе постоянно появляется троян. Как удалить?

В системной папке постоянно появляется троян. Антивирус регулярно его определяет и удаляет, но файл трояна появляется там вновь. Есть ли утилиты, чтоб отследить какие программы записывают файлы в определенную директорию? Файл формата «gHHHH.exe», HHHH - hex-код.
Главное антивирус всегда определяет разные виды вирусов — в основном трояны, но были и майнеры.
  • Вопрос задан
  • 7995 просмотров
Подписаться 1 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 7
svgaryaev
@svgaryaev
Воспользуйся AutoRuns, он покажет все возможные типы автозагрузки и задачи планировщика, а подозрительные даже выделит красным. И Process Monitor, как советовал Stalker_RED (как работать с ним хорошо показаноздесь).
Ответ написан
NeiroNx
@NeiroNx
Программист
Сноси систему, ставь чистую проверенную с закрытыми критичными дырами. Ты его не найдешь, раз пришол спросить здесь. Хотя если очень хочется можно попытаться, avz4, SysinternalsSuite в помощь. А еще может антивирус "шалить" - сам находит, сам лечит, показывает полезность.
Ответ написан
Комментировать
Stalker_RED
@Stalker_RED
Утилита называется Process Monitor, она же и обращения в реестр умеет отслеживать.

Настоятельно рекомендую воспользоваться AVZ.
Ответ написан
Комментировать
ArteMoon
@ArteMoon
Развиваюсь
Попробуйте проверить компьютер сканером Zemana Anti-malware. Обычно она находит и удаляет подробные угрозы.
Ответ написан
Комментировать
Посмотреть автозагрузку компьютера и пользователя
Ответ написан
Комментировать
athacker
@athacker
В данном случае, антивирус у вас лечит последствия -- бинарник с рабочей нагрузкой. А дроппер либо висит в памяти и не оставляет следов, либо проламывается сквозь непропатченную дыру в системе с какой-либо другой машины в сети (или в интернете). Выводите сервак в оффлайн, грузитесь с какого-нибудь liveCD и проверяйте диски, желательно несколькими инструментами -- AVZ, DrWeb CureIT, ещё что-нибудь.

Затем надо запустить сервер в изолированном сегменте и проставить все обновления, причёмкрайне желательно выпускать в интернет не напрямую, а через прокси, с логированием всех запросов с сервера. После этого наблюдать.
Ответ написан
Комментировать
@dmfun
В планировщике может задача висеть. AVZ может прочитать.
Раз в день задача запускается и качает мусор.

Я бы также все лишние модули в профиле поудалял и почистил все временные папки.
Программы инсталлируется в Program Files, но у некоторого полезного софта типа дропбокса может быть инсталляция в профиль. Во всяком случае не думаю, что их много и их можно вручную проанализировать (для поиска файлов юзаю фар)
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы