Майнер использует фичи разработчиков

[Seinlar]

Неделю назад комп словил нехорошую бяку, контролируем­ый доступ к папкам начал жаловаться на task manager, defender и другие нормальные системные процессы. Откат системы помог ровно до первого скачанного из интернета файла(безоби­дного, просто с любым файлом качается что-то ещё) и всё по новой. По свей наивности решено было переустанови­ть Винду.

Старым дедовским методом с шапочкой из фольги на голове. Без подключения к сети, интернету и выключенным роутером, с отсоединённы­м диском D, и с помощью консоли перед установкой были очищены все разделы диска (включая скрытые), потом с помощью интерфейса удалены и объединены заново. Роутер был сброшен, биос обновлён. Диск d не подключался.

Но это помогло чуть более, чем никак. Всё повторилось, но никаких ошибок defender уже не выдавал. Тогда же попробовал kaspersky total security, dr.web curelt, malawarebyte­s (с оф сайтов пробные периоды) (каждый раз на чистой системе). Антивирусы ничего не находят (максимум в отчёте доктор веба были подозрения на вирусы в папке appdata/temp)

Процессор при действии этого чудесного Майнера загружен на 100, при открытии диспетчера всё приходит в норму и потом по новой.

У меня такая проблема на компьютере и ноутбуке. На них стоит разная винь10. На ноуте домашняя, на компе про. Первая предустановл­енная, вторая скачана с официального сайта Майкрософт и образ создан официальной утилитой Майкрософт. Обе лицензии с ключами, привязанными к материнке. На компе сейчас больше нет нифига - после переустановк­и не устанавливал­ись никакие дрова, никакие флешки, не подключались к инету, в общем никаких действий не производилос­ь. Ноутбук был сброшен до заводских настроек средствами вин 10.

В итоге на обоих устройствах в пункте "для разработчико­в" стоит галочка, которую невозможно поменять ни стандартным способом, ни с помощью самой powershell, в пункте powershell стоит "измените политику выполнения так, чтобы можно было выполнять локальные сценарии PowerShell без подписи"

И пункт удаленный рабочий стол "изменит­ь параметры так, чтобы установить удалённое подключение к этому компьютеру"

Начнём с того, что в домашней сборке этого отрадясь не было. Я не пользуюсь powershell, скриптами, immersive control panel, сырыми приложением и всем подобным.

 

Закончим тем, что изменение реестра, групповых политик и прочего не изменяет эти продвинутые фичи, которые при попытке отключения просто тихой сапой включаются обратно при переходе на другую вкладку настроек.

Антивирусы считают, что мой pc корпоративны­й и отключение корпоративных политик не помогает. Как и отключение разрешений в брандмауэре (в котором тоже указан удалённый доступ к компьютеру)

 

Просканировал систему avz и farbar recovery scan tool. Последняя указывает на скрытые разделы на диске, которые не отображаются нигде больше.

 

Пожалуйста, помогите избавиться от этой заразы.

 

 Скан avz и farbar

[akoK]

давайте ка стандартные логи в начале. 

 

[Seinlar]

CollectionLog-2022.08.15-15.25.zipПростите за дублирование, сижу со старого телефона и туплю.

 

Все сделано по инструкции, базы сегодняшние (интернет отключён).

 

CollectionLog-2022.08.15-15.25.zip

[akoK]

Пока ничего вредоносного не видно

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

	O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft - 
	O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates - 

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Изменено 15 августа, 2022 пользователем akoK

[Seinlar]

CollectionLog-2022.08.15-15.25.zip

 

Так выше в самом первом комментарии всё это есть по ссылке на гугл диск. Дата сегодняшняя. 

 

Очень похоже описывает эту тему  эта статья  https://blog.avast.com/ru/razbor-virusa-ispolzuyuschego-programmu-udalennogo-kontrolya-teamviewer

 

Были документы office, открытые несмотря на предупреждение о безопасности. Теперь вместо чистой системы устанавливается что-то непонятное.

 

При попытке пофиксить проблемы с помощью Farbar, после перезагрузки все возвращается в исходное состояние. Фиксишь снова, и снова после перезагрузки он находит те же дыры в безопасности. 

[Seinlar]

CollectionLog-2022.08.15-15.25.zip         Не могу избавиться от этой битой ссылки выше, она не удаляется, не обращайте внимание пожалуйста.

 

Вот архив с отчётами. Скрипты в forbar выполняются, но после перезагрузки он находит все те же проблемы, что уже "как бы" фиксил. Так что это не помогает. Я понимаю, что тут стандартной калькой не обойдешься, но от этого жду ответа ещё больше.

 

Farbar нашел проблемы, я нашёл выключенную галку "защита от подделки" в defender, которая так же на место не становится. Что это, как не полностью хакнутая винда?

 

На двух устройствах одновременно одни и те же симптомы, одни и те же отчёты. Которые как бы говорят, что из защиты сделан швейцарский сыр. 

avz+farbar.zip