Здравствуйте, дорогие специалисты!
Прошу помочь найти и обезвредить вирус, который уже долгие годы терроризирует все мои устройства на Windows.
Первые признаки начали проявляться много лет назад, ещё на Windows 7 - в невозможности остановки и безопасного извлечения внешних носителей информации.
Dr.Web CureIt не находил никаких проблем, как не находит и сейчас.
Проблема решалась установкой утилит, принудительно останавливающих устройства.
Процессами, препятствующими остановке дисков были MsMpEng.exe и System?. Если необходимо, могу протестировать ещё раз.
В какой-то момент при подключении заражённых жёстких дисков, уже на Windows 10, Windows Defender начал обнаруживать вирус Ramnit.B.
В момент написания данной статьи добавился вирус Wacapew.C!ml, обнаруженный защитником, а также замечено, что процесс MsMpEng.exe, препятствующий извлечению, каждый раз обращается к разным исполняемым файлам на зараженном диске, преимущественно неподписанным.
Помимо этого, постоянно были проблемы с производительностью системы, но т.к. все зараженные устройства были со слабым или устаревшим железом, казалось, что это нормально.
Сейчас уже появились проблемы с загруженностью памяти процессом MsMpEng.exe у двух новых ноутбуков, один из которых ввиду малого количества оперативной памяти становится непригодным к работе. При этом, на нём ещё возможно принудительное завершение процесса через диспетчер задач и временное решение проблемы. А на другом ноутбуке при попытке завершить процесс появляется сообщение об отказе в доступе, даже после отключении задачи в планировщике и последующей перезагрузке. Также и при отключении мониторинга защитника через параметры и редактор реестра потребление памяти не меняется, что навевает на мысли о заведомо фальшивом процессе.
Потребляет около 150Мб памяти, если не работают никакие программы, что похоже на фоновую индексацию.
Все угрозы, обнаруженные Windows Defender при последней проверке зараженного диска: Virus:VBS/Ramnit.B, PUA:Win64/NiceHashMiner, Virus:Win32/Ramnit!remnants, Virus:Win32/Ramnit.B и A (очень много раз, причем в самых разных типах файлов, от html до dll и exe), Trojan:Win32/Wacatac.B!ml.
Собрать логи по инструкции из темы "Правила раздела Помощь по лечению" не смог, т.к. forum_drweb.cmd по какой-то причине не может найти переименованный в scanner.exe CureIt, и ссылка на Хайджек недействительна. Поэтому я скачал его с github и собрал логи вручную, правда не уверен, что корректно. В остальном (dwsysinfo и cureit) всё нормально.
Прикрепляю архив с логами к сообщению и оставляю ссылку ниже: