Нахождение, как вирус продолжает переустанавливаться?

282
Kurausukun

Недавно я заразился тонной вирусов, и мне удалось вычистить большинство из них, но есть еще один, от которого я не могу избавиться. Вот подробности (компьютер работает под управлением Windows 10 x64):

-Эффект вируса довольно незначительный; всякий раз, когда я выполняю поиск с помощью верхней панели в Google Chrome, он перенаправляет мои поиски в Yahoo, хотя мои настройки установлены в Google.

-Имя программы называется msmnlbvsrv.exe. Он появляется в моей папке Windows / temp, которая является папкой временных файлов, указанной в моих переменных окружения.

- Сам exe не может быть удален из Windows из-за некоторых разрешений, которые мне не удалось обойти; в основном, даже если я меняю владельца, он лишает меня возможности удалить его. Фактически, вы не можете остановить процесс из обычного диспетчера задач, потому что он лишает вас доступа. Но я смог убить его, используя Process Explorer в качестве администратора.

Но настоящая проблема заключается в следующем: я загрузил Gparted Live, чтобы удалить его оттуда, пытаясь удалить его, но когда я перезагружаю свой компьютер, он возвращается в мою временную папку. Это означает, что какое-то другое приложение является фактическим виновником и работает при загрузке и создает эту программу, которая перенаправляет мои поиски. Как я могу выяснить, что именно создает процесс и удалить его из источника? Ни Защитник Windows, ни Malwarebytes не могли избавиться от самого источника, и я действительно, ДЕЙСТВИТЕЛЬНО не хочу переустанавливать мою ОС. Кроме того, я видел Process Monitor, упомянутый здесь и там, но он не работает на моем компьютере, независимо от того, что я делаю. Окно не открывается, и если я смотрю на Process Explorer, процесс появляется и исчезает в течение одной секунды.

-1

1 ответ на вопрос

0
DrMoishe Pippik

Несколько вариантов в порядке простоты:

  • Полностью вытрите диск и восстановите его из последней удачной картинки, предварительно сохранив все последние данные в автономном режиме и отсканировав автономные файлы на наличие вредоносных программ .
  • Запустите средство удаления вредоносных программ с USB или CD, например, Avira Rescue System, Panda Cloud Cleaner Rescue ISO или Kaspersky Rescue Disk .
  • Найдите во всем диске строку «msmnlbvsrv.exe», чтобы найти место ее повторного создания, и вручную измените имя файла, где бы оно ни находилось, для изменения расширения, например «msmnlbvsrv.xxe». Это также должно быть сделано с внешнего загрузочного устройства и бесполезно, если имя файла зашифровано.
Я не совсем понимаю ваше последнее предложение; как бы я искал строку на всем диске и как он мне сказал бы, что ее создает? Kurausukun 7 лет назад 0
Это займет инструмент редактирования шестнадцатеричного диска и знание его использования. На этом форуме нет места, чтобы расширять это, и я не рекомендую это ... просто перечислил это как другую возможность. Кстати, * самое главное *, какой пакет защиты от вредоносных программ вы используете? Есть много хороших вариантов, и большинство из них предотвратили бы инфекцию в первую очередь. DrMoishe Pippik 7 лет назад 0
В то время я ничего не использовал, но потом сканировал как с помощью Защитника Windows, так и с помощью Malwarebytes, как я упоминал ранее. Да, я виноват в том, что не включил сканирование. Да, у меня была причина этого не делать. Нет, это не было хорошей причиной. Kurausukun 7 лет назад 0
Хорошо, я только что нашел что-то, не уверен, что это актуально; Я запустил wmic process get processid, parentprocessid, executetablepath | find с идентификатором процесса программы, и он сообщает мне, что родительский процесс - services.exe / svchost. Звучит так, будто я в полном дерьме. Я? Kurausukun 7 лет назад 0
Вы сканировали с зараженного жесткого диска или с чистого загрузочного устройства? Некоторые вредоносные программы не могут быть удалены во время работы на зараженном диске. Доверяйте спасательным дискам AV, упомянутым выше. DrMoishe Pippik 7 лет назад 0
Я сканировал с зараженного жесткого диска. Но вы читали мой комментарий выше / это актуально? Kurausukun 7 лет назад 0
Если вредоносная программа встроена как служба Windows, вам необходимо знать, какую службу следует остановить и отключить. Опять же, используйте загрузочный диск или USB-устройство. DrMoishe Pippik 7 лет назад 0
Хорошо, я сделаю один из них, но я опасно близок к форматированию жесткого диска и переустановке Windows. Спасибо за вашу помощь, независимо от того, что я в итоге делаю. Kurausukun 7 лет назад 0
Хорошо, Касперский ничего не нашел, так что я просто собираюсь отформатировать и переустановить. Спасибо, что смирился с моей глупостью, хотя. Это может быть закрыто, если кто-то хочет. Kurausukun 7 лет назад 0