Подскажите откуда вирусня

[Hugest]

Всем доброго дня!
Win7, FF v.44.
Ситуёвина простая - раз в два-три дня в папке темп появляется экзешник с трояном, который успешно удаляется каспером, вопрос в том, что - откуда и почему регулярно и разные?
Стоит помимо каспера встроенный защитник виндоус + Anti-Malware+ брендмауэр, и все равно как по расписанию (планировщик винды чистый, смотрел). Локальное сканирование не обнаруживает ничего - все чисто. С посещениями сайтов тоже не связано - браузеры в момент появления вируса бывают выключены. Поставил на автостарт очистку кэша и темпов при запуске - не помогает.
Помогите разобраться, все мозги заплёл.

Пока у меня две версии, чисто уже профанатские - лезет вирусня через мобильные устройства (телек с интернетом в сети, медиаплеер в сети тоже + смартфоны по вайфай подключены), но там ведь не винда и сеть защищена роутером... И второй вариант - сам Anti-Malware (украинский кстати разработчик) со шпионом, подумал об этом из-за картинки каспера (см. ниже), хотя возможно он просто проверял екзешник на вирус, а каспер не потерпел конкуренции...

Ваши версии?

[silly]

Цитата:

Сообщение от Hugest

С посещениями сайтов тоже не связано - браузеры в момент появления вируса бывают выключены.

Между заражением и какой-либо подозрительной активностью запросто может быть перерыв в несколько недель.

Цитата:

Сообщение от Hugest

Локальное сканирование не обнаруживает ничего - все чисто.

Здесь показана полная переустановка системы. (Это как раз тот редкий случай, где переустановка уместна, а не как обычно по дурости.)

Цитата:

Сообщение от Hugest

подумал об этом из-за картинки каспера (см. ниже)

Я честно говоря не понимаю, что на скриншоте делают названия двух разных продуктов.

Цитата:

Сообщение от Hugest

Ваши версии?

Для начала:
1. Отправляешь подозрительный файл на https://malwr.com/submission/ и https://virusscan.jotti.org.
2. Кидаешь ссылку на отчет(ы).

Сами файлы никому на форуме передавать не надо, это не совсем легально.

[Erema]

Hugest, а ну ка попробуй http://dsrt.dyndns.org/uvs.htm
Свои антивирусы конечно же нужно выключить на время.

вторым этапом:
1. скачать - https://download.geo.drweb.com/pub/d...sk-900-usb.exe
2. освободить какую-либо флешку от нужных данных. ИНАЧЕ ЭТИ ДАННЫЕ СОТРУТСЯ!!
3. запустить скаченный файл, выбрать флешку, создать загрузочный носитель ДАННЫЕ НА ФЛЕШКЕ СОТРУТСЯ!!!
4. загрузится с этой флешки
5. проверить все диски

Система Ваша заражена:
У вас грузится зловред. Он очень хорошо замаскирован.
Он распаковывает вирус и пытается его запустить.
Антивирус срубает вирус.
Зловред детектит отсутствие вируса в системе и повторяет все по новой

[BukaRoman]

Я бы снес систему не думая...

[scanNE®]

на скрине показана папка в лок профиле откуда эта хрень у вас

антивирусы лучше выкинуть, ничего они вам не дают ))) зачем кормить балбесов типа касперского с его рогами и копытами

а чистить лучше руками, в том числе и реестр

[lokil23]

я бы прошелся drweb livecd. так же стоит проверить настройки днс и прокси. и ярлыки, которые запускаете. недавно видел шнягу, которая заменила в путях ярлыков браузеров на свои.

[Spectator]

Цитата:

Сообщение от BukaRoman

Я бы снес систему не думая...

А стоит всё же подумать. Тем паче что снос системы вопрос не решит. Кто сказал что заражена только она? Самый разумный путь - то что написал Erema.
Иначе - только полное форматирование, с предварительным сохранением заведомо не зараженных файлов, а не снос системы.

[Teddybear]

Помнится травил как-то вирусню у себя на компе. Вирус маскировался под системный файл. Сам вирус вытравил, почистил реестр, но периодически при запуске системы вываливалось сообщение, что не найден некий exe-шник. В реестре в автозапуске (ветка shell), там где explorer.exe появлялась ссылка как раз на этот exe-шник. После правки реестра какое-то время все работало.
Оказалось, что реестр правит MS Word! Он открывался с шаблоном, в котором был вредоносный макрос..

А вообще - не надо все время сидеть под админской учеткой))

[Spectator]

Цитата:

Сообщение от Teddybear

А вообще - не надо все время сидеть под админской учеткой))

Вообще надо отключать макросы в Office, особенно если за компьютером сидит чайник или еще какой-то половник. Эта нехитрая процедура уменьшает количество халявной водки на 23 февраля страждущих буквально пять минут твоего времени у дверей офиса с утра понедельника до нуля.