Короче вчера запустил какой-то кряк или что, который не запустился, я его предварительно проверял на вирусы конечно же, но Nod32 сказал что все ок. Ну а сегодня запустил Яндекс браузер и он закрылся сразу после запуска, я без левой мысли запускаю еще раз ярлык, а мне пишет что exe'шника нету, мол, хотите удалить ярлык? Я сразу глянул по пути ярлыка и внатуре нету exe'шника яндекс браузера. Скопировал туда новый екзешник, сморю, а его что-то тупо удалило, скопировал еще раз, снова удалило, скопировал и запустил екзешник ян. браузер быстренько - браузер сразу закрылся и exe'шник удалился.

Ну короче начал искать что его так нагло удаляет.

Ну и я короче промониторил активность файловой системы через ProcessMonitor, ну и выяснилось что мой браузер удаляет системный файл "regsvr32.exe", на сколько я понял это брендмаузер винды. Плюс я еще промониторил что он во обще еще делает этот "regsvr32.exe" и он еще че-то там у Google Chrome спрашивает инфу о нем, и еще создает какие-то странные файлы:

c:\Users\Username\AppData\Local\209ac1b\3558ba8.bat
c:\Users\Username\AppData\Local\209ac1b\ac42a54.f0efd427 - (при чем расширение f0efd427 отображается как exe в тоталл коммандере)


Короче это прямо какой-то хороший вирус я подцепил, обычно я все сам могу почистить, а тут я прямо в ступоре что делать и как это работает. Кто что может подсказать по этому поводу?

Кто что может подсказать по этому поводу? »
Руки в ноги — и в Лечение систем от вредоносных программ (http://forum.oszone.net/forum-87.html), предварительно прочитав тамошние Правила раздела и прикреплённые темы.

Мне вот просто интересно, как вирус мог заменить системный файл? Хотя я смотрел этот файл "regsvr32.exe" по весу он точно такой же как и старый с образа который я делал пол года назад, так что тут наверно либо просто через него как то просто вирус работает или если это файл виндовс дефендора, то может быть вирус как-то записал какие-то правила в нем или еще что. Короче я хз что делать, но мне это не нравится, в мониторе посмотрел так он еще и че-то там отправляет по TCP на разные IP, это уже ваше очень плохо.

Ну счас пойду читать, но пока может быть может кто подсказать что это за системный файл и за что он отвечает во обще? В диспетвере пишет что это "Сервер регистрации microsoft (C)"

А пока что я короче убил его в диспетчере и удалил с системной папки, пока что все нормально, счас попробую скопировать файл из старого образа, посмотрю что будет.

тамошние Правила (http://forum.oszone.net/thread-98169.html) »
Уже "тутошние"

Короче как оказалось это был не системный файл, и его легко можно удалить или заменить, короче старый удалил а новый скопировал в ту же папку "SysWOW64", и теперь никакие папки и файлы не создаются, в диспетчере новый файл не запущен, в процессмониторе пусто.

Но мне теперь еще больше не понятно что это такое было? И как оно во обще запускалось? В автозагрузке нету запуска этого файла("regsvr32.exe") и никакого другого левого файла тоже нету, как он тогда грузился?
И каким это таким образом два файла имеющие одинаковую хэш сумму могут отличатся по работе, что это за бред такой творится тут у меня.... Короче надо мне какую-то мощную софтину которая бы проверила все полностью на компе, а то я не уверен что удаление файла и замена его нативным реально помогла, ну браузер теперь не закрывается и активности "regsvr32.exe" больше нету, но все равно надо походу проверить всю систему.

По этому вопрос такой, какой счас самый мощный софт который бы проверил все системные файлы, всякие задачи планирований винды, процессы в бэкграунде и прочие вещи которые обычный антивирус проверить не может?

З.Ы. Если бы этот вирус не закрывал Yandex-Браузер, я бы в жизни не узнал что у меня вирус, просто лол....

_SkyDancer_, вы правила форума выполните, спецы придут, посмотрят, сделают заключение, и будет вам счастье :)

okshef, Хорошо через 5 минут почитаю правила и сделаю что там надо сделать. А пока что подскажите хороший софт для скана системы на вирусы.

Идеального софта нет. Если вы обратите внимание на темы лечения, то увидите что и здесь пользуются разным софтом...

iskander-k, Понятно. Ну я короче удалил тот старый файл и новый файл больше ничего подозрительного не делает. Я так и не понял ни логики того старого файла ни смысла, зачем он так тупо палился закрывая яндекс браузер это просто какой- то смех, если бы не это я бы в жизни и не узнал что у меня вирус работает...
Ну и пляс по всем остальным процессам прошелся монитором, которые как бы относительно новые, я то свои процессы знаю почти наизусть, а вот новые промониторил, ну и в принципе ничего подозрительного в логе я не увидел, все системные функции и операции. Реестр тоже почистил от того мусора который этот вирусок намутил там под себя, ну и завтра еще почитаю про софты выберу себе пару штук и протестирую еще ими систему, но думаю вряд ли у меня что-то есть, ибо я не качаю ничего из всяких левых сайтов итд, вот один раз вчера качнул и вот результат... А все из-за лени загрузить виртуалку и запустить подозрительный файл там...

Кстати пока все это делал чистил, далил себе профиль браузера со всеми вкладками, и еще накосячил с одним софтом который мне убил дрова на звук, короче я реально сам себе вчера нашкодил больше чем этот вирус :) Како-то реально день был просто неудачный вчера у меня.

Ну короче вот как то так все. У кого будут похожие симптомы или какие-то подозрительные действия на вашем компе, сразу мониторьте что происходил, а там дальше уже разбирайтесь что и где надо удалить или отключить.