Недавно я обнаружил, что процесс удаляет большое количество файлов на моем жестком диске, и я начал пытаться перехватить этот процесс. Это мои выводы:
- он удаляет файлы с произвольным интервалом, но после запуска он автоматически удаляет сотни файлов / десятки ГБ, а удаленные файлы не появляются в корзине, поэтому я не могу их восстановить. Он не удаляет все файлы. Например, в папке удаляются все подпапки, запущенные с AM, а папки с NZ остались.
- Тем не менее, каждый раз, когда он удаляет, он просто удаляет из моей папки Google Drive и моей резервной папки (имя папки
BACKUP
) - Это не действие каждый день. Мое наблюдение заключается в том, что он удаляется примерно раз в 3-7 дней, я подозреваю, что это случайно
- Это происходит, когда мой компьютер включается после выключения на несколько часов.
- ОЧЕНЬ ИНТЕРЕСНО Мне удалось запечатлеть действие по удалению с помощью Directory Monitor. Сначала он захватил удаленное, сделанное
C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE
и под пользователем "NT AUTHORITY\SYSTEM". Который является драйвером DELL для драйвера контроллера Intel (R) Thunderbolt. Сразу же я остановил процесс Intel Thunderbolt Controller, затем его удаление все еще продолжается, но процесс это*C:\Program Files (x86)\Google\Drive\googledrivesync.exe
(пользователь - мое имя), затем я остановил программу Google Drive, затем удаление все еще продолжается, но процессC:\Windows\explorer.exe
(пользователь - мое имя). Затем я закрыл все окна проводника и, наконец, удаление остановилось. - Я выполнил полную проверку с использованием Защитника Windows и антивируса AVG, вирусов не обнаружено.
Я попытался восстановить свою систему, используя абсолютно чистый образ (это заводской образ), затем мне нужно установить все программы, чтобы ПК мог работать, затем через несколько дней удаление произойдет снова. Самым последним программным обеспечением, которое я установил до первого появления этого вируса, является Docker для Windows, и некоторые обновления драйверов Dell, все они загружаются с официальных сайтов.
Кто-нибудь имеет представление, что это за вирус?
Некоторые журналы из каталога монитора:
===first process (Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE)===
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original\User Guide\PDF *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Wacom\PenTablet_499-6.exe *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
===second process (googledrivesync.exe)===
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\design.png *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Function list.gdoc *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Group_full.gslides *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
===third process (explorer.exe)===
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\burden-299864.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\Millennial-FOT-1.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\HongKong19.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
=== Дополнительная информация о папке BACKUP согласно @ 'TECHIE007 =======
Папка BCKUP - это обычная папка, в которой хранятся мои драйверы оборудования и образы системы для целей восстановления системы. Он хранится в X:\BACKUP. X: диск один жесткий диск, хранящий все мои данные. Есть папки вроде: X:\BACKUP ... X:\DATA ... X:\MEDIA ...
Регулярно я бы копировал весь диск X: на внешний жесткий диск в качестве резервной копии.
У меня есть диск C: SSD, предназначенный только для системного и установленного программного обеспечения.
Между тем, для простоты переносимости каждая папка в X: имеет символическую ссылку, созданную в C:, например, у меня есть C:\BACKUP, которая является символической ссылкой на X:\BACKUP, C:\MEDIA ссылается на X:\MEDIA и т.д.
Я также заметил, что когда все файлы удаляются в папке BACKUP, символическая ссылка C:\BACKUP также удаляется, но папка X:\BACKUP все еще там, но содержимое пусто. Так что я думаю, что вредоносная программа на самом деле удаляет C:\BACKUP *. * Вместо X:\BACKUP, и после того, как все файлы в C:\BACKUP удалены, вредоносная программа удаляет папку C:\BACKUP, которая удаляет только символическую ссылку, вот почему папка X:\BACKUP все еще там с пустым содержимым.
Надеюсь, это поможет найти новую подсказку.