Решена Вирус майнер украл права администратора

Статус
В этой теме нельзя размещать новые ответы.
kaesar0237

kaesar0237

Новый пользователь
Сообщения
20
Реакции
0
Сегодня скачал что то из интернета после чего начал слышать как куллеры в компе гудят сильнее обычного, когда заходил в диспетчер кулеры успокаивались.
Через cureit глянул что подхватил, был там майнер 2660(не помню точно название) и троян какой-то. Зашёл к вам на форум увидел подходящую тему с советами скачать avbr. При переходе по ссылке вырубало браузер, но как-то скачать получилось с зеркала. Далее при запуске авбр вырубило комп на секунду, потух экран и появилось окно входа в систему, ввёл пароль и после этого не мог запустить уже ничего. Быстро зашёл в безопасный режим ну и пока всё.
В редакторе реестра появился DisallowRun, в списке которого все самые популярные антивирусы которых у меня даже и нету, ну и avbr.exe. При попытке удалить ошибка. При попытке изменить разрешения для групп или пользователей - Отказано в доступе. Разрешения на изменение чего либо в системе у меня пропали, зато у новой учётной записи John все разрешения.
При попытке запустить что либо появляется окно как на картинке1 в прикреплённых файлах.
Сижу в безопасном режиме, боюсь заходить в обычный абы ещё чего не украли как вот мои права администратора.
На рабочем столе появилась папка авбр с текстовым документом и скриптом, приложение taskhostw в этой папке запускается, сканирование через него ничего не видит, пробовал также через него запустить скрипт из папки но там бесконечно выбивают всякие ошибки кода а я не кодер.
На картинке 2 результат попытки запуска avbr, на первой кстати тоже его запуск только с изменённым названием, но такое же к любому антивирусу или программе.
Прошу помощи
 

Вложения

  • image.jpg
    image.jpg
    62.7 KB · Просмотры: 179
  • image.jpg
    image.jpg
    155.4 KB · Просмотры: 175
Запустите переименованный avbr в безопасном режиме. После крепите лог AV_block_remove.log и будем добивать заразу.
 
Завтра буду следовать всем указаниям, сегодня на работе к сожалению. Буду очень очень благодарен за помощь, вчера весь день мучился и фрустрировал.
 
Очень может быть, что без Live CD не обойдется, чтобы восстановить права
 
akok написал(а):
Запустите переименованный avbr в безопасном режиме. После крепите лог AV_block_remove.log и будем добивать заразу.
Нажмите для раскрытия...
Дополнительно просканировал фрст на всякий случай
 

Вложения

  • FRST.txt
    51.8 KB · Просмотры: 5
  • Addition.txt
    83.9 KB · Просмотры: 2
В вашем случае грядет переустановка ОС. Майнер отобрал у вас права администратора, без них лечение невозможно.
 
Последнее редактирование:
Смысл запускать и выкладывать лог с Live CD? Чтобы запутать помогающих вам людей? Утилита же будет лечить и давать данные по нему, а не вашей системе.
 
akok написал(а):
Запустите переименованный avbr в безопасном режиме. После крепите лог AV_block_remove.log и будем добивать заразу.
Нажмите для раскрытия...
А и авбр удалось запустить только через Hiren's BootCD PE
в безопасном режиме ничего запустить не могу так как прав нет

https://www.hirensbootcd.org/

 
regist написал(а):
Смысл запускать и выкладывать лог с Live CD? Чтобы запутать помогающих вам людей? Утилита же будет лечить и давать данные по нему, а не вашей системе.
Нажмите для раскрытия...
Понял, просто по другому не запускается
 
akok написал(а):
В вашем случае грядет переустановка ОС. Майнер отобрал у вас права администратора, без них лечение невозможно.
Нажмите для раскрытия...
Ты смотришь логи с Live CD, а что там в реальной системе не известно.
И потом с Live CD если даже отобрал права, то можно и пароль сбросить и вообще нового админа создать.
 
  • Like
Реакции: akok
Вернул права администратора через лайв сд, вот лог из безопасного режима
 

Вложения

  • AV_block_remove_2022.08.25-16.11.log
    10.6 KB · Просмотры: 17
kaesar0237 написал(а):
Вернул права администратора через лайв сд, вот лог из безопасного режима
Нажмите для раскрытия...
Совсем другое дело, соберите теперь логи по правилам.
И заодно посмотрите какие сейчас проблемы? Подозрение, что у вас там ещё системные файлы повреждены
 
Снимок экрана (1).png

Ну вот например при входе в безопасный режим либо в обычный выбивает такое окно "Не удается войти в учетную запись" при том что я уже вошел, и права админа есть.
Думал переустановить через Media Creation Tool винду с сохранением данных, но вот внизу пример ошибки при запуске. Еще виндовс дефендер не выключается, в настройках вкладка с ним просто не реагирует на нажатия. Ну и там по мелочи слетели настройки и рабочий стол если это важно.
 
Логи
 

Вложения

  • CollectionLog-2022.08.25-18.30.zip
    106.8 KB · Просмотры: 3
  • Addition.txt
    95 KB · Просмотры: 2
  • FRST.txt
    62 KB · Просмотры: 2
  • HiJackThis.log
    85.7 KB · Просмотры: 1
1) Ждём логи по правилам раздела. Вижу, что добавили логи.
2) Создайте новую учётную запись и проверьте эти проблемы в ней.
3) Дополнительно, скачайте этот скрипт, запустите расширенную проверку. Полученные логи потом выложите здесь.
 
Вы из Польши?
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Task: {80EA61B7-F7C2-4F39-AE67-AE1D98FC5E49} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {C2DF5A37-8949-4C58-A0CC-DCEA2937F494} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {CE4195CB-4FD9-44A7-B331-714C406E38F4} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {D3D6C2A0-FEB8-43F2-ADD6-625397543F30} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
2022-08-23 14:29 - 2022-08-25 18:39 - 000000000 __SHD C:\ProgramData\ReaItekHD


EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу