Обнаружил в CCleaner в разделе Автозагрузка (вкладка Запланированные задачи) следующую подозрительную запись:
Task {2EC1786D-3273-4EFF-BE94-C03BF7CF5B91} Microsoft Corporation
C:\Windows\system32\pcalua.exe -a "C:\Program Files\Total Commander\Totalcmd.exe" -d "C:\Program Files\Total Commander" -c /shellvarcontext=all
Наверное, она бы и не показалась подозрительной, не заметь я накануне в той же вкладке pooler-miner //что то там..заканчивалось это веселье minerd-win32.exe. Расположение было указано в скрытой папке Roaming что по адресу user-appdata-roaming.
Не поленился, залез. Файла не увидел ( предварительно настроил показывать скрытые папки и файлы).
Скачал свежий cureit от дока Веба - прошелся по локальным со всеми возможными - по нулям.
Скачал AVZ, обновил базы, прошелся на уровне "потенциально опасные" с минимальной эвристикой - по нулям.
Прошелся им же по папке AppData - с выставленным режимом нейтрализовывать перехватчиков ядра -
лог по ссылке
https://drive.google.com/file/d/0BwyEUmXySvtCRjFmZm5HVzdfdlU/edit?usp=sharing
Тем не менее файл из автозагрузок не исчез.
Так же в автозагрузках видел следующую запись
NCInstallQueue rundll32 netman.dll,ProcessQueue
я ее выключил и удалил из реестра.
Ось винда 7 максимальная 32
Паранойя началась после установки OpenOffice.
Спасибо за внимание. Очень жду эффективных инструкций!
Примечание:
Combofix действительно "отработал" папку roaming и "пострелял" непроизносимые экзешки из системной папки windows - хотя я ему про папку roaming ничего не говорил.
Спасибо atributz !
Тем не менее остался вопрос:
запись в автозагрузке ( вкладка запланированные задачи, задача не активная ибо выключил)
Task {2EC1786D-3273-4EFF-BE94-C03BF7CF5B91} Microsoft Corporation
C:\Windows\system32\pcalua.exe -a "C:\Program Files\Total Commander\Totalcmd.exe" -d "C:\Program Files\Total Commander" -c /shellvarcontext=all
Осталась.
Относительно minerd-win32.exe: ни в "отстрелянных" combofix'ом, ни где либо еще я так и не увидел.
Как проверить присутствует ли этот шпион на компьютере до сих пор? Хотел зарегистрироваться на форум, посвященный как раз логам Combofix ( по рекомендации) для проверки специалистами , но не прошел капчу (будь проклята неадекватная капча) и мне предложили "подождать" неопределенное время. Кстати, не могу отыскать лог первого сканирования (делал дважды и есть подозрения, что он перезаписывает поверх старого) поэтому лог есть только последний. (ссылка снизу)
https://drive.google.com/file/d/0BwyEUmXySvtCSzdFek15NmhuMTg/edit?usp=sharing
Да и по поводу NCInstallQueue rundll32 netman.dll,ProcessQueue - после удаления записи из реестра из автозагрузок - не встретился.
Относительно Combofix: внимательно прочитал правила деинсталляции утилиты, выполнил по инструкции. НО осталась одноименная папка с файлами в корне системного диска С. А как я понимаю, ее быть не должно. Это, конечно, вопрос второстепенный, но если кто-то ответит - благодарочка высокая!
RPI.su - самая большая русскоязычная база вопросов и ответов. Наш проект был реализован как продолжение популярного сервиса otvety.google.ru, который был закрыт и удален 30 апреля 2015 года. Мы решили воскресить полезный сервис Ответы Гугл, чтобы любой человек смог публично узнать ответ на свой вопрос у интернет сообщества.
Все вопросы, добавленные на сайт ответов Google, мы скопировали и сохранили здесь. Имена старых пользователей также отображены в том виде, в котором они существовали ранее. Только нужно заново пройти регистрацию, чтобы иметь возможность задавать вопросы, или отвечать другим.
Чтобы связаться с нами по любому вопросу О САЙТЕ (реклама, сотрудничество, отзыв о сервисе), пишите на почту [email protected]. Только все общие вопросы размещайте на сайте, на них ответ по почте не предоставляется.