Решена Помогите в добивании майнера и восстановлении ПК (ошибка 0x80070005)

[lemuriec]

Добрый день!

Несколько недель назад поймал майнер. Слава богу особо он не успел развернуться, так как где-то в глубине души после того как ПО не открылось и проскочило окно cmd я понял что попался)
Пока он не развернул свою деятельность успел скачать cureit и AV- не помню как называется, аналог AVZ. В общем запустился в безопасном режиме и грохнул эту дрянь... Но сегодня я понял что у меня перестал работать defender и не устанавливается приложение nVidia (так как оно перестало открываться я его удалили и пытался поставить заново). Ошибка - отказано в доступе 0x80070005.
Подскажите как воскресить умирающего?)

Заранее благодарю

 

[Sandor]

Здравствуйте!

Прочтите и выполните Правила оформления запроса о помощи

 

[lemuriec]

Извиняюсь. Архив с логами прикрепил

 

[akok]

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[lemuriec]

Сделал.. В безопасном режиме рабочий стол загружался минуты 3 и висело сообщение что винда заисла - завершить. Также окно прикрепления файла к этому сообщению открывалось минуту наверное...

 

[akok]

после логи frst нужно будет переделать из обычного режима и скрипт ниже тоже из обычного режима запускайте.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [SearchSearchboxTaskbarMode] => REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search" /v "SearchboxTaskbarMode" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [PersonalizeSystemUsesLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "SystemUsesLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [PersonalizeAppsUseLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "AppsUseLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [SearchSearchboxTaskbarMode] => REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Search" /v "SearchboxTaskbarMode" /t REG_DWORD /f /d 1 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [PersonalizeSystemUsesLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "SystemUsesLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [PersonalizeAppsUseLightTheme] => REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Themes\Personalize" /v "AppsUseLightTheme" /t REG_DWORD /f /d 0 (Нет файла) <==== ВНИМАНИЕ
IFEO\CompatTelRunner.exe: [Debugger] %windir%\System32\taskkill.exe
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\SPDriverInstall.lnk [2024-11-16] <==== ВНИМАНИЕ
ShortcutTarget: SPDriverInstall.lnk -> C:\Program Files\MediaTek\SP Driver\SPDriverInstall (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {69D5D064-4972-4744-8FBD-E20286A91C74} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {A647FB01-5028-4669-B641-808B589396FE} - \Microsoft\Windows\WindowsBackup\ControlService -> Нет файла <==== ВНИМАНИЕ
Task: {D4C4FF48-F370-48AA-A4D1-7FE97B6C8E8D} - \Microsoft\Windows\WindowsBackup\SystemSupport -> Нет файла <==== ВНИМАНИЕ
Task: {FEEB10F1-3ADF-4A14-B347-4A9797E30BD1} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {DD705CF1-7E5B-4D3D-B1CA-01CEFF4987D6} - System32\Tasks\FreedomeHelper => "C:\Program Files (x86)\F-Secure\Freedome\FHelper.exe"  (Нет файла)
Task: {E1470D77-C995-4417-B98D-003199A7B856} - System32\Tasks\XVpn_ScheduledTask => D:\Program Files (x86)\X-VPN\X-VPN.exe  (Нет файла)
S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
S3 cpuz157; \??\C:\Windows\temp\cpuz157\cpuz157_x64.sys [X] <==== ВНИМАНИЕ
S3 cpuz158; \??\C:\Windows\temp\cpuz158\cpuz158_x64.sys [X] <==== ВНИМАНИЕ
S3 GPUZ-v2; C:\Users\Deadstroke\AppData\Local\Temp\GPUZ-v2.sys [52008 2025-03-14] (TechPowerUp LLC -> ) <==== ВНИМАНИЕ
AlternateDataStreams: C:\ProgramData\ChrEdgeFkOff.vbs:F4FC0A6059 [3442]
AlternateDataStreams: C:\ProgramData\ie_to_edge_stub.exe:3AA5A01FB0 [3442]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
AlternateDataStreams: C:\ProgramData\tyvfcquz.wxt:B63721167D [3442]
AlternateDataStreams: C:\ProgramData\WnHqYU0nH4:D39ABDACE2 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Docker Desktop.lnk:CBB8C4555E [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\1C Предприятие (учебная версия).lnk:547E56CA7E [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat Distiller.lnk:93337121EE [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Acrobat.lnk:1FA7E99ECA [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2023.lnk:348C7DE18C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2024.lnk:CE5D2E4A72 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2024.lnk:B74CC70858 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Illustrator 2025.lnk:3EAFEB25E7 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2024.lnk:D6CCC992C2 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro 2023.lnk:FB95DB72C9 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk:B026C77744 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2022.lnk:D689419597 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\L-Connect 3.lnk:0E920E5B3C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [3442]
AlternateDataStreams: C:\Users\Deadstroke\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\Deadstroke\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
StartPowerShell:
get-service WinDefend, SecurityHealthService, wscsvc, WdNisSvc, SharedAccess | select name,status,starttype
EndPowershell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
cmd: netsh advfirewall reset
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

А про поведение дефендера подробнее о проблемах.

 

[lemuriec]

Вот. Насчет дефендера. При попытке просканировать Быстрой проверкой - ничего не происходит. Службы дефендера - все кнопки неактивны(нельзя остановить перезапустить и т п. Вот картинка - когда пытаюсь сделать быструю проверку.

 

[akok]

по поводу защитника, запустите Powershell от имени администратора и выполните

Set-MpPreference -UILockdown 0

 

[lemuriec]

PS C:\Windows\system32> Set-MpPreference -UILockdown 0
Set-MpPreference : Не удалось выполнить операцию. Ошибка: 0x800106ba. Операция: Set-MpPreference. Цель: UILockdown.
строка:1 знак:1
+ Set-MpPreference -UILockdown 0
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (MSFT_MpPreference:root\Microsoft\...FT_MpPreference) [Set-MpPreference],
   CimException
    + FullyQualifiedErrorId : HRESULT 0x800106ba,Set-MpPreference

 

[akok]

тогда в начале выполните команду

Start-Service WinDefend

потом убедитесь, что служба запустилась

Get-Service WinDefend

Нужно убедиться, что службы защитника запускаются так

Имя службы	Статус	Способ запуска
WinDefend (Microsoft Defender Antivirus Service)	Running	Automatic
WdNisSvc (Microsoft Defender Antivirus Network Inspection Service)	Running	Automatic
SecurityHealthService (Windows Security Health Service)	Running	Manual
wscsvc (Windows Security Center Service)	Running	Automatic
SharedAccess (Internet Connection Sharing - ICS)	Running	Manual

 

[lemuriec]

PS C:\Windows\system32> Start-Service WinDefend
Start-Service : Не удается запустить службу "Служба антивирусной программы Microsoft Defender (WinDefend)" из-за следую
щей ошибки: Не удалось запустить службу WinDefend на компьютере '.'.
строка:1 знак:1
+ Start-Service WinDefend
+ ~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : OpenError: (System.ServiceProcess.ServiceController:ServiceController) [Start-Service],
   ServiceCommandException
    + FullyQualifiedErrorId : CouldNotStartService,Microsoft.PowerShell.Commands.StartServiceCommand

PS C:\Windows\system32> Get-Service WinDefend

Status   Name               DisplayName
------   ----               -----------
Stopped  WinDefend          Служба антивирусной программы Micro...

 

[akok]

покажите, что выдает

Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender"

 

[lemuriec]

 

[akok]

Значит идем по большому кругу. После каждого шага, перезагружаем систему и проверяем работоспособность

1. Приводим службы к состоянию как показано в 10 посте (services.msc)
2. Проводим расширенную проверку и восстановление
3. И перегестрируем Windows Security UI

$manifest = (Get-AppxPackage *Microsoft.Windows.SecHealthUI*).InstallLocation + '\AppxManifest.xml'; Add-AppxPackage -DisableDevelopmentMode -Register $manifest

 

[lemuriec]

Значит идем по большому кругу. После каждого шага, перезагружаем систему и проверяем работоспособность

1. Приводим службы к состоянию как показано в 10 посте (services.msc)
2. Проводим расширенную проверку и восстановление
3. И перегестрируем Windows Security UI

$manifest = (Get-AppxPackage *Microsoft.Windows.SecHealthUI*).InstallLocation + '\AppxManifest.xml'; Add-AppxPackage -DisableDevelopmentMode -Register $manifest

Не очень понял первый пункт... Честно говоря я даже не вижу этих служб в списке.. Может они как то по другому называются

 

[akok]

Если не помогло можно скачать программу

FixWin 11 is the best PC Repair software to fix Windows 11/10 problems

FixWin 11.2 is the ultimate free PC Repair software or Windows Repair Tool to fix Windows 11/10 problems, annoyances & issues with a click. Download the latest version here.

www.thewindowsclub.com

на закладке
System Tools — «Repair Windows Defender».

Не очень понял первый пункт... Честно говоря я даже не вижу этих служб в списке.. Может они как то по другому называются

Имя службы (англ.)	Имя службы (рус.)
WinDefend (Microsoft Defender Antivirus Service)	Служба антивирусной программы Microsoft Defender
WdNisSvc (Microsoft Defender Antivirus Network Inspection Service)	Служба инспекции сети антивирусной программы Microsoft Defender
SecurityHealthService (Windows Security Health Service)	Служба работоспособности защиты Windows
wscsvc (Windows Security Center Service)	Центр безопасности Windows
SharedAccess (Internet Connection Sharing - ICS)	Общий доступ к подключению к Интернету (ICS)

Если не переврал ))

 

[lemuriec]

Если не помогло можно скачать программу

FixWin 11 is the best PC Repair software to fix Windows 11/10 problems

FixWin 11.2 is the ultimate free PC Repair software or Windows Repair Tool to fix Windows 11/10 problems, annoyances & issues with a click. Download the latest version here.

www.thewindowsclub.com

на закладке
System Tools — «Repair Windows Defender».

Имя службы (англ.)	Имя службы (рус.)
WinDefend (Microsoft Defender Antivirus Service)	Служба антивирусной программы Microsoft Defender
WdNisSvc (Microsoft Defender Antivirus Network Inspection Service)	Служба инспекции сети антивирусной программы Microsoft Defender
SecurityHealthService (Windows Security Health Service)	Служба работоспособности защиты Windows
wscsvc (Windows Security Center Service)	Центр безопасности Windows
SharedAccess (Internet Connection Sharing - ICS)	Общий доступ к подключению к Интернету (ICS)

Если не переврал ))

Первые 2 службы отказано в доступе. 3-ю не нашел. Последние 2 как в таблице.

Сделал все 3 пункта... Все так же.... и FixWin тоже не помог.... Заметил что не экспортируется реестр. nVidia Приложение все также не ставится и дефендер не запускается)

 

[akok]

покажите какие права у администратора на ветки реестра
HKLM\SYSTEM\CurrentControlSet\Services\WinDefend

HKLM\SYSTEM\CurrentControlSet\Services\WdNisSvc

 

[lemuriec]

Что конкретно отсюда нужно?

 

[akok]

правой клавишей на кусте

Или попытайтесь изменить значение start на 3