Решена Разрешен анонимный пользователь.

[LadyBo]

Здравствуйте! Скачала Windows со сторонего сайта и получила проблемму. В ОС оказалась вредоносная программа, опознаная Kerish Doctor как "getadmin". Отключаети удаляет список адапторов в "Центре управления сетями и общим доступом". Запущенная "Диагностика сетей" пишет, что интернет есть, но по факту отсутствует. Из адапторов остается только блютуз. Сносит программы и Битлокером шифрует диск. Первые признаки запуска-дрожит курсор мышки и она становится неуправляемой, остается только наблюдать, что творится с ОС. Появляются признаки не сразу, может пройти несколько часов, а может день. Первый раз ОС оказалась в итоге не доступна и поняв, что есть вредоносный скрипт, винду снесла. Диски отформатировала Aomei Partition и установила свою Windows. Каким образом,не знаю, но скрипт проявился в чистой ОС. Удалила виндовс и отформатировала диски Active Kill Disk. Переустановила ОС, и снова та же проблема. Кериш Доктор вроде помещает программу в карантин, но она появляется снова. На ноутбуке установлена Виндовс, и подключен портативный диск Samsung Portable SSD T5 c Windows To Go. Диск на ноутбуке после KillDisk без проблем. В WindowsToGo сразу после установки ОС через администрирование поставила "Вне сети". Надесь, он не пострадал. Антивирусами эта гадость не выявляется. Пожалуйста, помогите!!!

 

[akok]

1. Это не тот лог, нужен архив CollectionLog
2. Логи сняты с проблемной системы?
3. Похоже ключевая проблема в самой пиратской сборке Windows, никто не знает какие закладки оставлены в ОС и что подменено. Любая попытка пролечить ОС может ее обрушить или нарушить функционал. Лучше уж посмотрите в сторону оригинального образа ОС.
4. Как и любой софт для чистки/оптимизации системы, Kerish Doctor от лукавого.

 

[akok]

Проверьте есть ли странные пользователи системы

Управление учетными записями пользователей в Windows - Служба поддержки Майкрософт

Узнайте, как добавлять учетные записи пользователей в Windows 10 и Windows 11. В каждой учетной записи хранятся файлы пользователя, избранное браузера и личный рабочий стол пользователя.

support.microsoft.com

 

[akok]

Ну или через Win+r набрать lusrmgr.msc, после нажать OK

 

[LadyBo]

Вот архив

 

[akok]

Покажите содержимое файла C:\autorun.inf и давайте заблокируем возможность подключения анонимного пользователя.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

 begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
 RebootWindows(false);
end.

Компьютер перезагрузится.

на какой файл ругается Kerish Doctor?

 

[akok]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[LadyBo]

Пользователь только я.

 

[akok]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[LadyBo]

Здравствуйте! Вчера пришлось снести Windows To Go. Зловред срабатывал раз за разом, я просто не успевала ничего сделать. ОС установила заново, но перед этим:
1. форматировала диск в ОС установленной на ноутбуке.
2. несмотря на то, что диск пустой, стирала данные Aomei Partition.
3. им же исправляла MBR. ( Прочитала в интернете что зловред может находиться в загрузочном секторе)
4. сделала перенос ОС с ноутбука на больной портативный, т.к. в установке на USB через BIOS Microsoft отказывает.
5. стерла OC Aomei Partition методом DoD5220.22M в три прохода и исправила MBR.
Снова установила Windows To Go. Есть такой момент: контралировала все операции стирания программой Hard Disk Sentinel. После первого форматирования заблокированная область была 95мб, после всех операций стала меньше 1%. Я не спец, но может вам это что-то скажет. Прогнала ОС AutoLogger, архив прикрепляю новый. После прогона выполнила данный вами срипт.

 

[LadyBo]

В архивах FRST.txt и Addition.txt

 

[LadyBo]

Файл, на который ругается Кериш Доктор: C/Пользователи/Имя/AppData/Local/Temp/getadmin.vbs
но, программа не показывает где истоки.

 

[akok]

Ага, теперь упакуйте файл и прикрепите к следующему сообщению.

 

[LadyBo]

На новой Windows To Go пока ничего не вылезло.

 

[LadyBo]

Архив virusinfo

 

[LadyBo]

почему-то архив не загрузился, отправлю на ЯндексДиск

 

[LadyBo]

Ссылка на архив на ЯндексДиск

virusinfo_auto_DESKTOP-C1QER0U.zip

Посмотреть и скачать с Яндекс Диска

disk.yandex.by

 

[akok]

Как только появится, так и прикрепите. Хотя все говорит, что проблема в сборке, с которой записывали Windows To Go. Архив с файлами забрал и отправил.

 

[LadyBo]

На самом компе сборка чистая. Когда удалила больную и поставила сборку Сергея Стрельца (автор Windows PE) все тип топ и сейчас. Эта же сборка на Windows To Go, но зловред похоже на самом портативном диске зацепился. Судя по статьям в интернете, этот портативный диск Samsung SSD T5 шифрует все записи и проблемно очистить диск из-за этого. Когда первый раз подключила его, выскочила программа для установки пароля, но я ее удалила. Что делать с autorun.inf?

 

[akok]

Скопируйте содержимое в тему, посмотрим, что там прописалось, а после удалите файл.