none
Как убрать «хвосты» вредоносной программы, которая прицепилась к ATIH 2013? RRS feed

  • Вопрос

  • Какая-то вредоносная программа внедрилась в компьютер. Помогите, как ее найти и убрать.

    Вред от нее – загрузка CPU, возможно, другие ее вредные действия я убрал раньше, остались «хвосты».

    Последнее, что я делал – обнаружил, что какие-то явно чужие файлы подцепились к программе Calibre в нескольких местах – в c:\Program Files, c:\Users\<имя>\Downloads, c:\Users\<имя>\Documents. Попытался деинсталлировать Calibre штатным путем, но этот путь был отрезан – пошли явно фейковые сообщения с отказами. Тогда просто стер все файлы Calibre, причем сделал это из-под BartPE (боялся, что враг их перепрячет).  

    Сейчас действия «хвостов» проявляются в следующем:

    1) Ежедневно в 18:50 стартует программа ntvdm.exe с Parameters: -i1, и начинает съедать около 50% CPU. Это я вижу через System Explorer и там же нажимаю End Process. Процесс ntvdm.exe заканчивается, а вот сделать это через Task Manager не получается.

    2) При запуске ATIH 2013 (TrueImageLauncher.exe и TrueImage.exe) начинается сканирование всех хардов компьютера. В Process Monitor и в System Explorer я вижу, что это делает TrueImage.exe, CPU он использует на 80% примерно и длится это от 5 до 10 минут. (Видимо остатки вредоносной программы пытаются найти, куда же я спрятал ее файлы.) После этого программа ATIH 2013 функционирует нормально.

    Я сделал попытку отцепить эти вредоносные файлы от ATIH 2013 путем деинсталляции – реинсталляции, но этот путь тоже отрезан. При всех манипуляциях с ATIH 2013 появляются запросы на исполнение неких программ, местоположение которых - фолдер Temp, а название явно случайное. (Когда затемнение уходит с экрана и можно заглянут в Temp, там такого файла нет.) Если на запрос ответить NO, процесс прекращается, если ответить YES, то процесс продолжается, но вредоносные программы оказываются подцепленными к ATIH 2013, как и до деинсталляции – реинсталляции. 

    Естественно, avast работает и никаких вирусов нигде не находит. 

    21 января 2014 г. 10:59

Ответы

Все ответы

  • Добрый день.

    Попробуйте проверить компьютер этим: http://www.microsoft.com/security/scanner/ru-ru/default.aspx

    ntvdm.exe поищите в планировщике заданий. Удалите.

    Calibre в реестре системных правил(Win+R, в поле напечатайте regedit и нажмите Enter. Используйте поиск CTRL+F). Удалите.

    • Предложено в качестве ответа kariolan 23 января 2014 г. 12:51
    21 января 2014 г. 11:46
  • Спасибо Vlad_53 !

    Программой от Macrosoft проверил, но увы, эта программа ничего не нашла. 

    Через regedit нашел все упоминания Calibre в Registry и удалил их. (Это было непросто, так как в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components таких ключей было более тысячи!)

    ntvdm.exe в планировщике заданий не нашел, а System Explorer показывает, что у процесса ntvdm.exe -i1    Parent Filename="C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe, т.е. ntvdm.exe включает ATIH 2013, хотя такого задания нет, я его не давал. 

    Сканирование всего компьютера при запуске ATIH 2013, думаю, законное дело. Это проверка правильности таблицы имеющихся архивов, которая находится в главном окне ATIH.

    Вот, что мне сильно помогло - это Boot-time scan средствами avast - он нашел 7 зараженных файлов вирусами Win32:Crossrider C, Win32:Somoto-J, Win32:InstalleRex-AQ и Win32:Installer-J. Boot-time scan - очень продуктивное средство!

    Спасибо всем, жду советов и предложений.

    23 января 2014 г. 23:01
  • Попробуйте єту утилитку: http://support.kaspersky.ru/viruses/disinfection/3732

    Слава Україні!

    28 января 2014 г. 10:55