Вирус / подозрительный процесс удаляет множество папок и файлов через различные имена процессов

Question

Недавно я обнаружил, что процесс удаляет большое количество файлов на моем жестком диске, и я начал пытаться перехватить этот процесс. Это мои выводы:

1. он удаляет файлы с произвольным интервалом, но после запуска он автоматически удаляет сотни файлов / десятки ГБ, а удаленные файлы не появляются в корзине, поэтому я не могу их восстановить. Он не удаляет все файлы. Например, в папке удаляются все подпапки, запущенные с AM, а папки с NZ остались.
2. Тем не менее, каждый раз, когда он удаляет, он просто удаляет из моей папки Google Drive и моей резервной папки (имя папки BACKUP)
3. Это не действие каждый день. Мое наблюдение заключается в том, что он удаляется примерно раз в 3-7 дней, я подозреваю, что это случайно
4. Это происходит, когда мой компьютер включается после выключения на несколько часов.
5. ОЧЕНЬ ИНТЕРЕСНО Мне удалось запечатлеть действие по удалению с помощью Directory Monitor. Сначала он захватил удаленное, сделанное C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE и под пользователем "NT AUTHORITY\SYSTEM". Который является драйвером DELL для драйвера контроллера Intel (R) Thunderbolt. Сразу же я остановил процесс Intel Thunderbolt Controller, затем его удаление все еще продолжается, но процесс это *C:\Program Files (x86)\Google\Drive\googledrivesync.exe (пользователь - мое имя), затем я остановил программу Google Drive, затем удаление все еще продолжается, но процесс C:\Windows\explorer.exe (пользователь - мое имя). Затем я закрыл все окна проводника и, наконец, удаление остановилось.
6. Я выполнил полную проверку с использованием Защитника Windows и антивируса AVG, вирусов не обнаружено.

Я попытался восстановить свою систему, используя абсолютно чистый образ (это заводской образ), затем мне нужно установить все программы, чтобы ПК мог работать, затем через несколько дней удаление произойдет снова. Самым последним программным обеспечением, которое я установил до первого появления этого вируса, является Docker для Windows, и некоторые обновления драйверов Dell, все они загружаются с официальных сайтов.

Кто-нибудь имеет представление, что это за вирус?

Некоторые журналы из каталога монитора:

===first process (Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE)===

Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Network\Tenda\Original\User Guide\PDF *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*
Deleted (28/7/2017 18:27:29): X:\BACKUP\Drivers\Wacom\PenTablet_499-6.exe *NT AUTHORITY\SYSTEM using C:\Windows\System32\config\systemprofile\AppData\Roaming\PCDr\Downloads\Chipset_Driver_8J86F_WN32_15.3.39.250_A01.EXE*

===second process (googledrivesync.exe)===
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\design.png *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Function list.gdoc *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*
Deleted (28/7/2017 18:27:30): X:\DATA\CloudDrive\f1\Group_full.gslides *MY-DELL\MyUserName using C:\Program Files (x86)\Google\Drive\googledrivesync.exe*

===third process (explorer.exe)===
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\burden-299864.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\Millennial-FOT-1.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*
Deleted (28/7/2017 18:27:31): X:\DATA\CloudDrive\V\WC\Sales Deck\images\HongKong19.jpg *MY-DELL\MyUserName using C:\Windows\explorer.exe*

=== Дополнительная информация о папке BACKUP согласно @ 'TECHIE007 =======

Папка BCKUP - это обычная папка, в которой хранятся мои драйверы оборудования и образы системы для целей восстановления системы. Он хранится в X:\BACKUP. X: диск один жесткий диск, хранящий все мои данные. Есть папки вроде: X:\BACKUP ... X:\DATA ... X:\MEDIA ...

Регулярно я бы копировал весь диск X: на внешний жесткий диск в качестве резервной копии.

У меня есть диск C: SSD, предназначенный только для системного и установленного программного обеспечения.

Между тем, для простоты переносимости каждая папка в X: имеет символическую ссылку, созданную в C:, например, у меня есть C:\BACKUP, которая является символической ссылкой на X:\BACKUP, C:\MEDIA ссылается на X:\MEDIA и т.д.

Я также заметил, что когда все файлы удаляются в папке BACKUP, символическая ссылка C:\BACKUP также удаляется, но папка X:\BACKUP все еще там, но содержимое пусто. Так что я думаю, что вредоносная программа на самом деле удаляет C:\BACKUP *. * Вместо X:\BACKUP, и после того, как все файлы в C:\BACKUP удалены, вредоносная программа удаляет папку C:\BACKUP, которая удаляет только символическую ссылку, вот почему папка X:\BACKUP все еще там с пустым содержимым.

Надеюсь, это поможет найти новую подсказку.

Answer 1

Обновление: Dell признала, что их установщик драйвера удаляет пользовательские файлы. Они занесли драйвер в черный список, чтобы убедиться, что он не распространяется на другие системы. Для тех, кто уже столкнулся с этой проблемой, удачи вам вернуть ваши файлы.

Довольно много людей, включая меня, испытывают эту проблему. Похоже, это связано с установщиком драйвера Dell Thunderbolt, который запускается каждый день. Я запустил трассировку Sysinternals Process Monitor, которая доказывает, что этот установщик драйверов выполняет все удаления.

Я не знаю наверняка, почему он удаляет файлы только из определенной папки, но это моя самая важная папка, которую я всегда открываю в проводнике файлов. Возможно, существует какое-то взаимодействие между драйвером и проводником.

Более подробную информацию можно найти в этой теме Dell. http://en.community.dell.com/support-forums/software-os/f/4997/t/20017763

Я опубликовал довольно полную разбивку своих находок там, но она ждет модератора Dell, поэтому я включил копию ниже.

---

То же самое здесь, за последние 5 рабочих дней (я полагаю, что в первый раз это произошло в четверг, 17 августа 2017 года), он неоднократно удалял папку, содержащую файлы размером более 10 КБ, которые мне приходилось восстанавливать из резервной копии каждый день. Монументальная трата моего времени.

Я так устал от исчезновения моих файлов, что запустил трассировку SysInternals Process Monitor, и скажем так, что я поймал этот установщик драйвера с переутомленными файлами, этот процесс перебирает файлы в каталоге c:\data\dropbox и удаляет их все!

Почему установщик работает каждый день, мне не понятно. Кроме того, почему не удаляется только эта папка в c:\data, а не другие в c:\data, не ясно. Единственное, о чем я могу думать, это то, что у меня ВСЕГДА открыта эта папка в проводнике.

Другие люди сообщают о подобных проблемах, см. Вирус / подозрительный процесс удаляет много папок и файлов через различные имена процессов

Я посмотрел на обновление различных утилит обновления Dell, работающих на моей системе (почему так много). Журнал Dell Command Update и журнал активности не показывают, что они выполнили что-либо.

Установщик подписан Dell Inc, я проверил его с помощью антивирусных сканеров, и он проходит через чистую.

Служба поддержки Dell показывает «Powered by PC_Doctor», в котором объясняется PCDR в пути к драйверу, поэтому я предполагаю, что это запланирует ежедневное обновление. Однако идентификатор процесса, показанный для родительского процесса (который запустил установщик драйвера), не относится к процессу, который выполняется в данный момент, поэтому я не могу точно сказать, что запустило этот установщик.

Кто-нибудь имеет представление о том, где можно найти файл журнала для этого установщика драйвера. Я посмотрел в% temp% и c:\windows\temp, но там нет ничего, что соответствовало бы отметке времени.

Журнал событий Windows показывает следующее каждый день

---

Записи в системном журнале событий (каждый день в произвольное время, код события 7045)

Сервис был установлен в системе.

Имя службы: PCDSRVC {3B54B31B-D06B6431-06020200} _0 - имя файла службы поддержки службы поддержки режима ядра PCDR: c:\program files\dell\supportassist\pcdsrvc_x64.pkms Тип службы: драйвер режима ядра Тип запуска службы: требовать запуска Учетная запись службы :

---

так же как

---

Начало транзакции установщика Windows: C:\ProgramData\dell\drivers\Chipset_Driver_8J86F_WN32_15.3.39.250_A01\setup.msi. Идентификатор клиентского процесса: 16568.

---

Я счастлив удалить этот проблемный файл, но боюсь, что он снова вернется к удалению файлов. Поскольку невозможно отследить, что было удалено со временем, все больше и больше файлов просто исчезнут из моей системы.

Совершенно ясно, кто здесь виноват, теперь Dell придется взять на себя ответственность и разобраться с этим. Я плачу за премиум-поддержку и свяжусь с представителем службы поддержки Dell.