Перейти к содержанию

Майнер использует фичи разработчиков


Seinlar

Рекомендуемые сообщения

Неделю назад комп словил нехорошую бяку, контролируем­ый доступ к папкам начал жаловаться на task manager, defender и другие нормальные системные процессы. Откат системы помог ровно до первого скачанного из интернета файла(безоби­дного, просто с любым файлом качается что-то ещё) и всё по новой. По свей наивности решено было переустанови­ть Винду.

Старым дедовским методом с шапочкой из фольги на голове. Без подключения к сети, интернету и выключенным роутером, с отсоединённы­м диском D, и с помощью консоли перед установкой были очищены все разделы диска (включая скрытые), потом с помощью интерфейса удалены и объединены заново. Роутер был сброшен, биос обновлён. Диск d не подключался.

Но это помогло чуть более, чем никак. Всё повторилось, но никаких ошибок defender уже не выдавал. Тогда же попробовал kaspersky total security, dr.web curelt, malawarebyte­s (с оф сайтов пробные периоды) (каждый раз на чистой системе). Антивирусы ничего не находят (максимум в отчёте доктор веба были подозрения на вирусы в папке appdata/temp)

Процессор при действии этого чудесного Майнера загружен на 100, при открытии диспетчера всё приходит в норму и потом по новой.

У меня такая проблема на компьютере и ноутбуке. На них стоит разная винь10. На ноуте домашняя, на компе про. Первая предустановл­енная, вторая скачана с официального сайта Майкрософт и образ создан официальной утилитой Майкрософт. Обе лицензии с ключами, привязанными к материнке. На компе сейчас больше нет нифига - после переустановк­и не устанавливал­ись никакие дрова, никакие флешки, не подключались к инету, в общем никаких действий не производилос­ь. Ноутбук был сброшен до заводских настроек средствами вин 10.

В итоге на обоих устройствах в пункте "для разработчико­в" стоит галочка, которую невозможно поменять ни стандартным способом, ни с помощью самой powershell, в пункте powershell стоит "измените политику выполнения так, чтобы можно было выполнять локальные сценарии PowerShell без подписи"

И пункт удаленный рабочий стол "изменит­ь параметры так, чтобы установить удалённое подключение к этому компьютеру"

Начнём с того, что в домашней сборке этого отрадясь не было. Я не пользуюсь powershell, скриптами, immersive control panel, сырыми приложением и всем подобным.

 

Закончим тем, что изменение реестра, групповых политик и прочего не изменяет эти продвинутые фичи, которые при попытке отключения просто тихой сапой включаются обратно при переходе на другую вкладку настроек.

Антивирусы считают, что мой pc корпоративны­й и отключение корпоративных политик не помогает. Как и отключение разрешений в брандмауэре (в котором тоже указан удалённый доступ к компьютеру)

 

Просканировал систему avz и farbar recovery scan tool. Последняя указывает на скрытые разделы на диске, которые не отображаются нигде больше.

 

Пожалуйста, помогите избавиться от этой заразы.

 

 Скан avz и farbar

Ссылка на комментарий
Поделиться на другие сайты

CollectionLog-2022.08.15-15.25.zipПростите за дублирование, сижу со старого телефона и туплю.

 

Все сделано по инструкции, базы сегодняшние (интернет отключён).

 

CollectionLog-2022.08.15-15.25.zip

Ссылка на комментарий
Поделиться на другие сайты

Пока ничего вредоносного не видно


"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

	O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft - 
	O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates - 


 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Изменено пользователем akoK
  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

CollectionLog-2022.08.15-15.25.zip

 

Так выше в самом первом комментарии всё это есть по ссылке на гугл диск. Дата сегодняшняя. 

 

Очень похоже описывает эту тему  эта статья  https://blog.avast.com/ru/razbor-virusa-ispolzuyuschego-programmu-udalennogo-kontrolya-teamviewer

 

Были документы office, открытые несмотря на предупреждение о безопасности. Теперь вместо чистой системы устанавливается что-то непонятное.

 

При попытке пофиксить проблемы с помощью Farbar, после перезагрузки все возвращается в исходное состояние. Фиксишь снова, и снова после перезагрузки он находит те же дыры в безопасности. 

Ссылка на комментарий
Поделиться на другие сайты

CollectionLog-2022.08.15-15.25.zip         Не могу избавиться от этой битой ссылки выше, она не удаляется, не обращайте внимание пожалуйста.

 

Вот архив с отчётами. Скрипты в forbar выполняются, но после перезагрузки он находит все те же проблемы, что уже "как бы" фиксил. Так что это не помогает. Я понимаю, что тут стандартной калькой не обойдешься, но от этого жду ответа ещё больше.

 

Farbar нашел проблемы, я нашёл выключенную галку "защита от подделки" в defender, которая так же на место не становится. Что это, как не полностью хакнутая винда?

 

На двух устройствах одновременно одни и те же симптомы, одни и те же отчёты. Которые как бы говорят, что из защиты сделан швейцарский сыр. 

avz+farbar.zip

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kiperenok
      От kiperenok
      Добрый вечер ! Та же проблема. Выполнил первые 2 пункта со скриптами а AVZ. Вот файл карантина 2024.12.22_Quarantine_27237554ca4507fb7f620afc014cd433.7z
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • November 11
      От November 11
      Я не знаю от куда появился майнер. Пк был не у меня какое-то время
      Но это точно что-то из этого так как начался сильный нагрев, а также сайты с антивирусом закрывает
      Доступа к сайту нет
      4.zip
    • Марко32
      От Марко32
      Начал замечать, что без ничего видеокарта работает на 20 процентов. Но когда открываю диспетчер задач оно сразу же пропадает (но видно на долю секунду).
      Сделал анализ в FRST. Пожалуйста, помогите.
      Addition.txt FRST.txt
    • aph1nn
      От aph1nn
      Есть майнер, при запуске начинает сильно гудеть пк, а когда включаю диспетчер задач, он выключается и показатели видеокарты приходят в норму. Касперский не может удалить его с перезагрузкой или без. Название SppExtFileObj.exe, что делать?
    • zimcat11
      От zimcat11
      Всем привет, словил майнер, и вроде очистился от него, но осталось одна проблема, не могу установить программу RogueKiller, пишет "отказано в доступе", кто сталкивался с таким, помогите
       
×
×
  • Создать...