Здравствуйте, у меня такая проблема: я установил левое ПО из подозрительного архива. В диалоговом окне установки я снял все галочки доп.установки маил.ру страницы агента ну и т.д. Но как оно часто бывает он все же установил эти сервисы после установки самого ПО я закрыл все процессы которые устанавливали дурацкий софт от маил ру. То что успело установится удалил сначала в панели управления потом зачистил от них реестр. Но проблема в том что у меня постоянно открывается браузер сам по себе. Так как у меня стоит блокировка рекламы и всплывающих окон реклама не открывается а тупо запускается браузер по умолчанию. Решил проверить компьютер на вирусы. Антивирус Hitman Pro находит зараженные файлы и удаляет их но сам вирус так и остается в системе незамеченным. Вот программный вирусный код который исполняют эти созданные файлы
Скрытый текст
Mitigation HollowProcess
Platform 10.0.15063/x64 v729 06_2a
PID 8696
Application C:\Users\User\AppData\Local\Temp\is-QQB30.tmp\181247974.exe
Description 181247974.exe
Filename C:\Windows\syswow64\svchost.exe
Target PID 9960
Target C:\Windows\syswow64\svchost.exe
Image Base 0x00400000
Reason-MTH : 0075AD20
Process Trace
1 C:\Users\User\AppData\Local\Temp\is-QQB30.tmp\181247974.exe [8696]
"C:\Users\User\AppData\Local\Temp\is-QQB30.tmp\181247974.exe" i
2 C:\Users\User\AppData\Local\Temp\is-SNHJ7.tmp\181247974.tmp [9596]
"C:\Users\User\AppData\Local\Temp\is-SNHJ7.tmp\181247974.tmp" /SL5="$70252,140553,58896,C:\Users\User\AppData\Local\Temp\181247974.exe" i
3 C:\Users\User\AppData\Local\Temp\181247974.exe [9444]
"C:\Users\User\AppData\Local\Temp\181247974.exe" i
4 C:\Windows\System32\cmd.exe [9432]
cmd /c ""C:\Users\User\AppData\Local\Temp\181247974.exe" i"
5 C:\Windows\System32\cmd.exe [9220]
cmd /c "C:\Users\User\AppData\Local\RekoyhQvDT.bat"
6 C:\Windows\System32\cmd.exe [7856]
C:\WINDOWS\SYSTEM32\cmd.exe /c ""C:\WINDOWS\SysWOW64\DDnuUQ.bat""
7 C:\Windows\System32\svchost.exe [1076]
c:\windows\system32\svchost.exe -k netsvcs -s Schedule
Thumbprint
c055a949d0a1ce01b4328b55108eac42a06c0766af5bef0de0c9edeb9048de6d
Скрыть
Хитман в реальном времени выдает, что данные файлы выполняют атаку, как я понял вирус создает временные файлы батники, которые заносят свой код в svchost.exe. Если отключить антивирус то svchost.exe процесс нагружает CPU на 70%. Причем при закрытии такого нагруженного svchost комп просто зависает на месте при этом на экране просто каша из пикселей. И без жесткого ресета комп не реабилитируется. Хитман видит только временные файлы которые нагружают процессор, но сам вирусняк создающий эти файлы он не видит как и другие антивирусы
Логи ниже
CollectionLog-2018.01.16-16.17.zip