Только недавно вроде бы вылечился от заразы, ан опять вылезла. Ума не приложу откуда: флешек не втыкал, ничего подозрительного не запускал, все критические обновления стоят. Вероятно, сидит оно где-то глубже, чем казалось...
Опять разнообразное вылезает из временной папки. Сканер DrWeb (как и CureIt!) запускается только в защищенном режиме. В обычном вылетает. Иногда появляется старый добрый svchost.exe в Program Files\Microsoft Common. Мочу его gmer'ом, как в прошлый раз, - помогает ненадолго. Что это, доктор?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=49866).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
В том-то и дело, что никаких съемных носителей я за это время не подключал! Ну а если бы подключал, то, конечно же, обратил бы внимание, что у них в автозагрузке.
Такое ощущение, что он самовоспроизводится чем-то, сидящим в системе глубже. Может такое быть? Стоит еще раз повторить последний скрипт?
Поразительно, что на вирустотале его до сих считают за вирус лишь 5 из 41. Ни DrWeb, ни Касперский его вирусом не считают!
Вчера убил svchost с помощью прежнего рецепта, сегодня та же самая ситуация. При первом подключении к интернету лезет зараза из временной папки (и отлавливается DrWeb'ом), сразу после этого svchost появляется на прежнем месте.
Никаких сменных носителей не подключал!
Что же это может быть?
Начинаю грешить на Оперу. Может, в ней уязвимость какая-то, хотя я использую последнюю версию. У меня в ней всегда открыто много вкладок, а зараза лезет только после ее открытия, по моим наблюдениям. Попробую в очередной раз вылечиться и поработать с минимумом открытых сайтов.
В Опера Инструменты - Настройки - Дополнительно - Содержимое - Настроить JavaScript...
В самом низу есть нужное окошко, в котором может быть указана папка
Microsoft MVP 2012-2016 Consumer Security Microsoft MVP 2016 Reconnect
Да-да, я уже нашел. Действительно, там установлена папка Program Files\Microsoft Common! Стало быть, уши растут из Оперы! Но ведь, по идее, эта папка лишь указывает расположение js-скриптов для выполнения. А там пусто, пока этот svchost там не появится. Дело явно в какой-то оперной уязвимости, не могу придумать других вариантов.
Сейчас логи повторить не смогу, так как в очередной раз замочил svchost (как-то боязно с ним жить ). А окошки в Опере все закрыл, открываю по одному. Буду отслеживать, появится ли опять и в какой момент.
Спасибо за помощь!
Хм, оказалось не совсем так. Окошко и было пустое. Этот путь - Program Files\Microsoft Common - лишь предлагается по умолчанию, когда пытаешься установить эту папку.
Теперь я совсем ничего не понимаю. Опера ни при чем? Почему тогда такой специфический путь в ней проявляется? Может быть, нечто эту папку устанавливает, потом (сделав грязное дело) опять очищает, после чего она вылезает только как умолчание при новом выборе? А какое умолчание обычно бывает? Жаль, не у кого посмотреть сейчас.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: