Теперь Кью работает в режиме чтения

Мы сохранили весь контент, но добавить что-то новое уже нельзя

Updater.exe сидит в папке Chrome и после удаления возвращается. Как с ним бороться?

В этой статье я руками и глазами обычного пользователя пытаюсь вывести зловреда со своей системы. Вы может увидеть, какими инструментами я пользуюсь, какие "стратегии" стараюсь применять, что меня удивляет, беспокоит и тревожит. Такой своеобразный "Дневник Юзера", поймавшего вирус. 
Надеюсь эта статья будет полезной.
~ Недавно я обнаружил в папке Chrome приложение Updater. После проверки в VirusTotal стало ясно, что это вредоносное ПО. VirusTotal клишировал его как trojandropper, miner
Я решил заглянуть в диспетчер задач и увидел странный процесс, который не замечал до этого. Он никак не назывался (был пустым) и потреблял много памяти.
В свойствах было написано svchost, выполнялся СИСТЕМОЙ и находился в папке System 32. (Когда я открыл его в первый раз, он назывался null, но в последующие разы, когда я решал покопаться в нём снова, он назывался уже svchost)
Время было уже позднее, я выключил компьютер.
~ На протяжении нескольких дней я искал способы вывести эту нечисть со своего ПК. Процесс, который я упомянул выше, снизил потребление памяти до 2,3 - 3 МБ. На фоне этого я решил отложить проблему на ближайшее время.
Напомнил мне о зловреде мой брандмауэр: он обнаружил попытку измениться updater.exe.
~ Я не слишком силен в системном администрировании, но решил проверить приложение в ProcessHacker'е, чтобы выяснить какое приложение отвечает за восстановление updater.exe.
Потому что в Планировщике заданий, приложение, которое запускает updater.exe после включения компьютера называется GoogleUpdateTaskMachineQC и находится вот по этому пути:
Это выглядит очень странно, учитывая ещё тот факт, что проводник не находит этот файл, даже после того, как я отметил "показывать скрытые файлы и папки". До этого, программа называлась GoogleUpdateTaskMachineUA{105BCA62-B2B3-431A-80F9-891BC3095055} и имела больше действий —я снял задачи, но спустя время задача появилась снова под другим названием.
ProcessHacker не видел updater.exe до того момента, пока я не перезагрузил компьютер, и updater.exe показался на долю секунды. Я успел зайти в его свойства и посмотреть его родительскую цепочку. К сожалению, (я переписываю вопрос уже третий раз) прошлый вопрос слетел, из-за того что я закрыл браузер, и я не помню какая именно прослеживалась цепочка родителей. Но я помню, что там присутствовали: 1) файл svchost, который запускал updater.exe, 2) какой-то файл, который находился также в System 32 (родитель 1ого), 3) Тоже какой-то системный файл (родитель 2ого) 4) Non-existent process (родитель 4ого) — всё упиралось в Non-existent process.
Также в ProcessHacker'е я обнаружил странный "зашифрованный" svchost — описание состояло из случайных латинских символов. Я понял, что это, видимо, зловред, но побоялся отключать его т.к не знал как это правильно/корректно осуществить.
Почему я не мог удалить его? Потому что все svchost, что я описал ранее: 1) пустой svchost в диспетчере задач, 2) svchost, запускающий updater.exe, 3) "зашифрованный" svchost, 4) случайно-взятый для проверки svchost — отсылаются к одному приложению в папке System 32.
И осталось две ключевые детали svchost.exe и Non-existent process.
Non-existent process — как я понял, это уже завершенный процесс. Т.е пока я рылся в ProcessHacker'е всё дерево процессов, связанное с updater.exe, начало завершаться. Мне не хватило пару кликов.
svchost.exe — я, видимо, не совсем понимаю, как работает это приложение.
На данный момент я активно слежу за updater.exe со всех прицелов, но либо он умело скрывается от всех моих приложений-помощников, либо я уже достаточно ему навредил, что всё что он может — это восстанавливаться после удаления.
Пока я пойду читать по поводу svchost, прошу всех людей, которые могут помочь мне в данном вопросе, подсказать, что можно предпринять, что, возможно, я сделал неправильно или упустил.
Большое спасибо за обратную связь!
P.S Если я смогу справиться с вопросом самостоятельно — думаю, обязательно сообщу об этом.
Также забыл добавить, что в последнее время на столе появляется файл startupinfo.txt. Компьютер по нажатию кнопки "завершение работы" сразу не выключается. Панель задач зависает и не отображает иконки.
Перед тем как проводить всё это расследование я, конечно, запустил Dr.Web Cureit в безопасном режиме — ничего не обнаружил.
1) Да, касательно svchost, вирусы могу внедряться в системные файлы, поэтому я решил провести восстановление системных файлов через SFC и DISM — нашло некоторые повреждения, буду надеяться, что svchost "вылечился". Но updater.exe до сих пор сидит в папке и восстанавливается. Планировщик задач постоянно обновляет эту задачу на запуск updater.exe.
2) Почему-то я больше не могу просматривать ту информацию об этом приложении, что просматривал до этого.
3) Так, недавно я установил AIDA64. Подозрение на загрузку видеокарты, т.к процессор, память и сеть особо не нагружались — видеокарта в норме.
В итоге updater.exe получилось удалить вручную. 
И хочу сказать, что я вообще не отслеживаю какой-либо логической цепочки, взаимосвязи или корреляции.
ВОЗМОЖНО, проблему решил мой Антивирус: он потребовал перезагрузить компьютер по причине обновления себя — вроде, после этого вирус пропал…
Программирование+4
poovxxx  ·   · 6,5 K