Антивирусники не реагировали!!!

15.05.2017, 19:04

Пару дней назад мой ПК был чем-то заражен (что-то похожее на майнер, хз). Может кто-то столкнется с тем же и ему поможет то, что делал я. На днях заметил странную активность жесткого диска, при практически полном отсутствии обращений к нему с моей стороны. Открыл диспетчер задач и тут же обращения к диску пропали, а в диспетчере активности не было. После закрытия диспетчера задач буквально через минуту та же история...

Первый шаг: включил плагин Rainmetera (можно попробывать что-то другое что тоже отслеживает) который показывает активное приложение и нагрузку на процессор.
Тут я увидел приложение WINSec.exe из папки C:Windowssecurity нагружает процессор под 80-90%, а при открытии диспетчера оно выгружается.))
В общем решил этот файл удалить (но в тоже время копию закинуть в архив под паролем, на случай креша)
Но не тут-то было, через примерно несколько минут я увидел туже активность процессора и диска от этого файла (он появлялся заново).
Скормил антивирусникам (Avast, Dr.Web CureIt! ну и конечно Kaspersky Removal Tool) сам файл и проверил все место на жестком, но они в упор ничего не находили!!! Придется обходится без антивирусников.

Второй шаг: Установил программу Process Monitor (чтобы отследить какой файл и откуда запускается перед появлением WINSec.exe) и фаерволл дабы отследить может докачивает с нета (закрыл все подключения и ждал).
После очередного удаления WINSec.exe, Process Monitor показал на файл secscan.exe в папке C:Windowsprefetch и сразу сработал фаерволл с указанием на это файл и попыткой выйти в интернет.

Шаг третий: Удалил WINSec.exe и все файлы из папки prefetch (так как нужные файлы для ускорения будут созданы системой заново). Затем почистил реестр с упоминанием названия данных файлов WINSec и secscan.(предварительно экспортировал реестр). Полет нормальный,никаких ошибок и никакой активности!

Да и еще на всякий случай, так как это совпало с датой масштабной хакерской атаки на компьютеры по всему миру из-за дыры в windows для АНБ США, я поставил заплатку для своей Windows 7 x64 - http://download.windowsupdate.com/d/...2d8c4e92b3.msu
Может это тоже из-за этой дыры в Windows, но самое обидное что не один антивирусник не реагировал на это...

15.05.2017, 19:04	#1
skypeme Сообщения: n/a	Антивирусники не реагировали!!! Пару дней назад мой ПК был чем-то заражен (что-то похожее на майнер, хз). Может кто-то столкнется с тем же и ему поможет то, что делал я. На днях заметил странную активность жесткого диска, при практически полном отсутствии обращений к нему с моей стороны. Открыл диспетчер задач и тут же обращения к диску пропали, а в диспетчере активности не было. После закрытия диспетчера задач буквально через минуту та же история... Первый шаг: включил плагин Rainmetera (можно попробывать что-то другое что тоже отслеживает) который показывает активное приложение и нагрузку на процессор. Тут я увидел приложение WINSec.exe из папки C:Windowssecurity нагружает процессор под 80-90%, а при открытии диспетчера оно выгружается.)) В общем решил этот файл удалить (но в тоже время копию закинуть в архив под паролем, на случай креша) Но не тут-то было, через примерно несколько минут я увидел туже активность процессора и диска от этого файла (он появлялся заново). Скормил антивирусникам (Avast, Dr.Web CureIt! ну и конечно Kaspersky Removal Tool) сам файл и проверил все место на жестком, но они в упор ничего не находили!!! Придется обходится без антивирусников. Второй шаг: Установил программу Process Monitor (чтобы отследить какой файл и откуда запускается перед появлением WINSec.exe) и фаерволл дабы отследить может докачивает с нета (закрыл все подключения и ждал). После очередного удаления WINSec.exe, Process Monitor показал на файл secscan.exe в папке C:Windowsprefetch и сразу сработал фаерволл с указанием на это файл и попыткой выйти в интернет. Шаг третий: Удалил WINSec.exe и все файлы из папки prefetch (так как нужные файлы для ускорения будут созданы системой заново). Затем почистил реестр с упоминанием названия данных файлов WINSec и secscan.(предварительно экспортировал реестр). Полет нормальный,никаких ошибок и никакой активности! Да и еще на всякий случай, так как это совпало с датой масштабной хакерской атаки на компьютеры по всему миру из-за дыры в windows для АНБ США, я поставил заплатку для своей Windows 7 x64 - http://download.windowsupdate.com/d/...2d8c4e92b3.msu Может это тоже из-за этой дыры в Windows, но самое обидное что не один антивирусник не реагировал на это...

Опции темы	Поиск в этой теме
Версия для печати Отправить на email	Поиск в этой теме: Расширенный поиск

Сообщение форума

Отменить изменения

Здесь присутствуют: 1 (пользователей - 0 , гостей - 1)