Как я могу отследить разрушительный вирус?

Question

Вчера один из членов семьи попросил меня взглянуть на их рабочий ноутбук (они работают не по найму), так как использование памяти почти на 100% после часа неиспользования (6 ГБ ОЗУ в режиме ожидания не должно быть при 100% использовании). через час!).

Я нашел:

• Выполняется дубликат java.exe (я удалил Java, когда заметил это, все еще работает даже при перезагрузке), и объем используемой памяти увеличивается примерно на 50 МБ каждую минуту.
• RAVBg64.exe работал в фоновом режиме с использованием памяти ~ 500 МБ (подозреваемый вирус, замаскированный под панель управления Realtek)
• В результате сканирования вирусов с помощью ClamAV от Parted Magic было обнаружено два трояна.Пакеты установки драйвера принтера HP, зараженные Bifrose (легко удаляются через файловый менеджер Parted Magic)
• Вирус отключил доступ в Интернет через любые адаптеры Wi-Fi (Windows заявляет, что не видит никаких сетей Wi-Fi [проверен адаптер включен], но мой собственный нетбук находит сети в порядке), но подключение через локальную сеть работает ...
• Ag_.exe работает в фоновом режиме с использованием ЦП около 70% (может быть, это ботнет-майнер ботнетов?), Не повезло в отслеживании этого файла, так как диспетчер задач не позволяет мне открыть расположение файла процесса и любой другой поиски жесткого диска не могут его найти.

Этот ноутбук заразился серьезной инфекцией (вероятно, основной причиной является троян.Bifrose), и мне не повезло удалить что-либо (кроме трояна.Обнаружение бифроз и RAVBg64.exe).

К сожалению, троян.Bifrose, очевидно, обладает способностью присоединяться к основным файлам Windows (реестру и различным исполняемым файлам внутри System32), поэтому, вероятно, инфекция все еще присутствует.

Вместо того, чтобы пытаться удалить инфекцию, лучше создать резервную копию важных бизнес-файлов (их не так много, большинство файлов находятся на их ПК, у которых таких проблем нет), а затем стереть и переустановить Windows?

Я не вижу лучшего пути; Я мог бы часами удалять инфекцию, пока она продолжает копировать себя ...

Любой вклад в это приветствуется.

Answer 1

Снимите его с орбиты, переформатируйте накопитель и полностью переустановите на пустой накопитель из надежного источника (установочный компакт-диск).

Также проверьте BIOS, чтобы увидеть все настройки там по-прежнему имеет смысл.

Причина этого в том, что вредоносные программы могут прятаться в самых странных местах, например, руткит может прятаться за пределами видимой файловой системы и загружать программы прямо из скрытого раздела (например).

Answer 2

Прежде чем приступить к уничтожению вашей операционной системы, всех драйверов устройств и ВСЕХ ваших данных и приложений, выясните, есть ли у вас «руткит» (заражение в загрузочной записи). Большинство вирусных инфекций можно вылечить, если тщательно поработать над этим. Руткиты особенно эффективны для поддержания себя живыми.

Это решение было предоставлено мне службой поддержки Microsoft 3 с половиной года назад. Он бесплатный, простой в использовании и работает как шарм, впервые:

   Suggestion: Remove Trojan or viruses
   =====================================

   1. Download file TDSSKiller.zip from the following link -- save it on the Desktop.

          http://support.kaspersky.com/downloads/utils/tdsskiller.zip

   2. Double-click TDSSKiller.zip to unzip the file.

   3. Double-click TDSSKiller.exe to scan the system.

   4. Wait for the scan and disinfection process to complete.

   5. If malware is found in the System Root or any drivers, select "Cure" to rebuild   
      that area.

Kaspersky - один из лучших антивирусных продуктов, есть несколько других, которые одинаково эффективны.

При необходимости вы можете загрузить файл на другой компьютер, скопировать его на флэш-накопитель и подключить его к больной машине, чтобы запустить его на основном диске (C:).

Независимо от того, решает ли это вашу проблему, машине ваших друзей нужен постоянно активный антивирусный / антивирусный пакет для поиска ВСЕХ вирусов и вредоносных программ - вполне может быть и другое. Удачи!