Кто создает файл?

[return_a]

Так случилось, что попал моему знакомому один "экспонат". Появляется постоянно в директории С:\Windows\Temp\
и имеет имя conhoy.exe Прогуглил я это чудо-юду и гугл выдает по типу что это троян.
Все бы ничего, да вот только когда я его удаляю, он вновь создается через некоторое время.
Вопрос следующий - как можно выяснить кто его создает и удалить данное ПО?
---
Прошелся по regedit

Нашлось только вот это вот.

 

[return_a]

эти сервисы крайне подозрительны

OfficeSoft                                                  c:\windows\fonts\fonts\svchost.exe
MicrosoftMysql                                              C:\Windows\Fonts\Mysql\svchost.exe

если там что-то есть, закинь на вт

Куда закинуть?

 

[return_a]

Есть такие дериктории прошу прощения (что написал что нет) вот что там

 

[Yes]

Есть такие дериктории прошу прощения (что написал что нет) вот что тамПосмотреть вложение 26128Посмотреть вложение 26129

VT - VirusTotal, онлайн сканер файлов на вирусы
посмотри что в текстовиках, и что внутри батников лежит. странный текстовик result.txt

 

[return_a]

Вот результаты:

Спойлер: VT Result

Собственно тут ссылки на результаты, где количество срабатываний !=0
From C:\Windows\Fonts\Fonts dir

VirusTotal

VirusTotal

www.virustotal.com

VirusTotal

VirusTotal

www.virustotal.com

VirusTotal

VirusTotal

www.virustotal.com

VirusTotal

VirusTotal

www.virustotal.com

Ко второй папке пока доступ не получить щас пытаюсь выянить причину и найти обход.

 

[return_a]

Короче частично вторую папку скопировал, окромя одного файла. Ошибка следующая -

Но самое веселое оказалось в папке ..\Fonts\
Там просто рассада походу вирусов. Челбик видимо вообще качал все подряд. Вот что там:

Вот как-то там

 

[return_a]

дядя, это все малварь, удаляй

просто брать и удалять?
К примеру к некоторым файлам у меня нет доступа что бы их удалить

 

[Artem N]

просто брать и удалять?
К примеру к некоторым файлам у меня нет доступа что бы их удалить

Если нет доступа - значит из под админа удаляй (например, FAR при удалении файла запросит эти права). Если и тогда не получается - скорее всего файл запущен (FAR и об этом сообщит).
Ещё вариант - прибить файлы, загрузившись в Safe mode.

 

[return_a]

Если нет доступа - значит из под админа удаляй (например, Far3 при удалении файла запросит эти права). Если и тогда не получается - скорее всего файл запущен (Far3 и об этом сообщит).
Ещё вариант - прибить файлы, загрузившись в Safe mode.