По собственной глупости поймал майнер, обычно по 30 раз всё перепроверяю, но был уставший и скачал программу с первого попавшегося сайта.
Вредителя обнаружил сразу, тк установка была очень тормознутой, и изменились разрешения защитника windows. При попытки открыть редактор групповой политики (gpedit.msc) сразу вылетело. Сайты с антивирусами закрывали браузер. Боялся что шифровальщик, сразу в безопасном режиме проверил службы, после вручную почистил планировщик заданий, удалил в реестре запреты на открытие файлов в проводнике, почистил переменные среды.
Методом "научного тыка" обнаружил подставные процессы из папки Program Data, указанные в заголовке. После по этому форуму сравнил с симптомами и воспользовался утилитой AV block remover. Сначала запустил по стандарту, увидел ошибки, остановил и запустил в безопасном режиме. Цены нет разработчикам, проблему решил, но я не уверен, что очищено всё. Я недостаточно хорошо разбираюсь в этих вещах, поэтому нуждаюсь в помощи профи.
Уточнения, которые, возможно, имеют значение:
У меня есть опасения по поводу Dokan library. Я увидел её где-то, пока пытался справится с проблемой, но не помню, чтобы я устанавливал её вручную. Возможно, она установилась как часть какой-то другой программы. Может ли она быть напрямую связана с этим майнером?
В соответствии с правилами, прикладываю логи и отчёты AV block Remover. Сначала выполнялся Remover, потом создавались логи.
Вредителя обнаружил сразу, тк установка была очень тормознутой, и изменились разрешения защитника windows. При попытки открыть редактор групповой политики (gpedit.msc) сразу вылетело. Сайты с антивирусами закрывали браузер. Боялся что шифровальщик, сразу в безопасном режиме проверил службы, после вручную почистил планировщик заданий, удалил в реестре запреты на открытие файлов в проводнике, почистил переменные среды.
Методом "научного тыка" обнаружил подставные процессы из папки Program Data, указанные в заголовке. После по этому форуму сравнил с симптомами и воспользовался утилитой AV block remover. Сначала запустил по стандарту, увидел ошибки, остановил и запустил в безопасном режиме. Цены нет разработчикам, проблему решил, но я не уверен, что очищено всё. Я недостаточно хорошо разбираюсь в этих вещах, поэтому нуждаюсь в помощи профи.
Уточнения, которые, возможно, имеют значение:
1. На компьютере установлен Rohos (для входа с помощью usb без пароля)
2. Логгер хотел запустить IE, но, кажется, не смог. Вероятно, IE был искусственно удалён мною, вместе с другими стандартными программами (это было давно)
3. На компьютере разрешён запуск удалённых рабочих столов
4. На компьютере были включены некоторое опции для работы с PowerShell
5. Вероятно, есть многие повреждения системы, не связанные с этой проблемой, поскольку нужен был chkdsk. С тех пор я так и не успел переустановить систему
2. Логгер хотел запустить IE, но, кажется, не смог. Вероятно, IE был искусственно удалён мною, вместе с другими стандартными программами (это было давно)
3. На компьютере разрешён запуск удалённых рабочих столов
4. На компьютере были включены некоторое опции для работы с PowerShell
5. Вероятно, есть многие повреждения системы, не связанные с этой проблемой, поскольку нужен был chkdsk. С тех пор я так и не успел переустановить систему
У меня есть опасения по поводу Dokan library. Я увидел её где-то, пока пытался справится с проблемой, но не помню, чтобы я устанавливал её вручную. Возможно, она установилась как часть какой-то другой программы. Может ли она быть напрямую связана с этим майнером?
В соответствии с правилами, прикладываю логи и отчёты AV block Remover. Сначала выполнялся Remover, потом создавались логи.
