Здравствуйте. Купил Dr.Web Security Space, установил его на чистую Windows, так как прошлая была заражена какими-то троянцами, и на следующее же утро вновь подвергся заражению/атакам вирусов.
Давайте по-порядку. То что у меня было на предыдущей версии Windows точь-в-точь описано в данном посте другим пользователем - и спасибо ему за это.
https://forum.drweb.com/index.php?showtopic=327461&p=827106
Антивирус Norton постоянно лишь удалял некие item.dat в папке windows/debug, Касперский вылечил некую WMI заразу, однако его отключение на полчаса (с целью сканирования другим софтом), вновь приводило к появлении заразы в каталоге windows под названием "mssecsvc.exe", которая, по памяти использования Нортона, и качала некий item.dat.
Пригласил в гости соседа-сисадмина с целью переустановки Windows с полным форматированием. Перед её выполнением он поинтересовался, что у меня в процессах - там под WMIPrvSE были запущены пара процессов iexplore.exe, которые игнорировал Касперский. Dr.Web CureIt вообще ни разу ничего не находил, но возможно потому, что всё подчистил тот же Касперский.
Windows переустановлена вчера вечером. После 4ех часов работы за компьютером (Посещение официальных сайтов аля yandex, vk, youtube, twitch.tv) и лишь одного сомнительного - fanserials.tv, где я разрешал запуск flash, чтобы посмотреть серию любимого сериала, я заметил следующий запущенный процесс из данного пути:
C:\\$36OSection\Ctfmon.exe, который игнорировал Dr.Web, однако я смог открыть папку с данным файлом, и просканировав его узнал, что это троянец, имя которому:
Trojan.Downloader24.59532.
После этого я полез в лог Dr.Web, и оказалось, что Dr.Web уже много чего поймал, а именно:
Дата: 20.05.2017 11:14 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: mssecsvc.exe
Угроза: Trojan.Encoder.11432
Действие: Удалено
Путь: C:/windows/mssecsvc.exe Дата: 20.05.2017 10:44 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Дата: 20.05.2017 7:23 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: xzz[1].exe
Угроза: BackDoor.Graybird.75
Действие: Удалено
Путь: C:/windows/system32/config/systemprofile/appdata/local/microsoft/windows/temporary internet files/content.ie5/xzz[1].exe Дата: 20.05.2017 7:23 Компонент: SpIDer Gate Код: 100 Событие: Угроза заблокирована Сведения: Объект: xzz.exe
Угроза: BackDoor.Graybird.75
Действие: Заблокировано
Путь: http://xz.0317168.com:98/xzz.exe Сведения: Объект: explorer.exe
Угроза: Trojan.DownLoader24.59532
Действие: Удалено
Путь: C:/windows/fonts/explorer.exe Дата: 20.05.2017 10:44 Компонент: SpIDer Gate Код: 100 Событие: Угроза заблокирована Сведения: Объект: 55.exe
Угроза: Trojan.DownLoader24.59532
Действие: Заблокировано
Путь: http://219.250.59.5:5687/55.exe Дата: 20.05.2017 7:23 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: m.exe
Угроза: BackDoor.Graybird.75
Действие: Удалено
Путь: C:/users/m.exe После этого я сделал полное сканирование компьютера, которое наконец нашло то, что я нашел первым - и "переместило" его. После перезагрузки Windows я обнаружил экран выбора пользователя - Администратора меня, и другого, имя которого я напишу позже (этого не было утром, но по памяти не помню). А пока что я прилагаю логи Hijackthis. Лог Dr.Web слишком велик для загрузки. Подскажите по дальнейшим шагам, пожалуйста.