Некоторое время назад я заразился кучей вирусов и вредоносных программ. Я избавился от большинства из них с помощью байтов вредоносных программ, защитника Windows и проверки вручную на наличие неизвестных процессов, которые я бы открывал в расположении их файлов и удалял. Я застрял с одним последним, что особенно раздражает:

В случайное время (с интервалом от нескольких дней до нескольких недель) Google Chrome аварийно завершает работу и удаляется с панели задач. Затем будет установлен другой поддельный chrome и поддельный firefox (выглядят и работают одинаково, но не являются правильным путем к файлу).

Также создано несколько новых папок. Я удаляю их каждый раз, но они все еще создаются при следующем запуске вируса. Это немного отличается каждый раз, но постоянные:

  1. папка в% appdata% с именем "WinSapSvc" с одним файлом «WinSAP.dll». Этот файл затем запускается в диспетчере задач
  2. В Program Files (x86) несколько папок длинного бреда (пример: {61A49C04-9843-4B67-8890-1862F29D01AD}). Эти папки содержат вторую папку, которая называется « ALLOWDEL (больше тарабарщины)», которая содержит несколько файлов .exe и .dll, и MSI-файл Snarer.msi. Также несколько файлов без расширения, которые выглядят как javascript и относятся к Google Hangouts.

Редактировать: # 3 - Это отключает Windows Defender и заставляет его думать, что определения устарели на 1 год. Также похоже переустановить Windows Defender

Редактирование № 2: Одна из главных вещей, которые он делает, - это запуск сервиса под названием "котенок". Он запускается под svchost.exe с командой "C:\windows\system32\svchost.exe -k Kitty -s". Я не могу понять, как избавиться от этого (хотя после его остановки он снова запустился, так что, возможно, проблема не в корне)


На этот раз я сразу же открыл диспетчер задач, когда произошел сбой Google Chrome, и было запущено 10-20 команд PowerShell, которые быстро закрывались. Я предполагаю, что если я смогу выяснить, откуда они запускаются, я смогу наконец убить вирус. Откуда могут быть вызваны команды powershell? Планировщик заданий сообщает, что за последние 24 часа не было выполнено ни одного задания.

|источник

1 ответ1

0

Ну, я думаю, что нашел ответ для меня по крайней мере. У меня был сервис под названием BIT, который всегда работал в фоновом режиме и выполнял svchost с некоторыми дополнительными параметрами, которые я не распознал. Я удалил его с помощью приведенных ниже команд, и с тех пор инцидента не было. (Я также запустил вредоносные байты и троянский сканер simplysup впоследствии, которые все оказались положительными, но с тех пор ничего нового не обнаружили).

sc stop BIT

sc удалить BIT

Обновление: сервисы переустанавливаются через некоторое время. Я думаю, что Spotify Updater был заражен, так как каждый раз, когда spotify обновлялся, он запускал команды, устанавливал службы и кучу других вредоносных программ. После переустановки spotify у меня больше не было проблем.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .