Решена Вирус майнер украл права администратора

Статус
В этой теме нельзя размещать новые ответы.
kaesar0237

kaesar0237

Новый пользователь
Сообщения
20
Реакции
0
Сегодня скачал что то из интернета после чего начал слышать как куллеры в компе гудят сильнее обычного, когда заходил в диспетчер кулеры успокаивались.
Через cureit глянул что подхватил, был там майнер 2660(не помню точно название) и троян какой-то. Зашёл к вам на форум увидел подходящую тему с советами скачать avbr. При переходе по ссылке вырубало браузер, но как-то скачать получилось с зеркала. Далее при запуске авбр вырубило комп на секунду, потух экран и появилось окно входа в систему, ввёл пароль и после этого не мог запустить уже ничего. Быстро зашёл в безопасный режим ну и пока всё.
В редакторе реестра появился DisallowRun, в списке которого все самые популярные антивирусы которых у меня даже и нету, ну и avbr.exe. При попытке удалить ошибка. При попытке изменить разрешения для групп или пользователей - Отказано в доступе. Разрешения на изменение чего либо в системе у меня пропали, зато у новой учётной записи John все разрешения.
При попытке запустить что либо появляется окно как на картинке1 в прикреплённых файлах.
Сижу в безопасном режиме, боюсь заходить в обычный абы ещё чего не украли как вот мои права администратора.
На рабочем столе появилась папка авбр с текстовым документом и скриптом, приложение taskhostw в этой папке запускается, сканирование через него ничего не видит, пробовал также через него запустить скрипт из папки но там бесконечно выбивают всякие ошибки кода а я не кодер.
На картинке 2 результат попытки запуска avbr, на первой кстати тоже его запуск только с изменённым названием, но такое же к любому антивирусу или программе.
Прошу помощи
 

Вложения

  • image.webp
    image.webp
    30.2 KB · Просмотры: 215
  • image.webp
    image.webp
    108.2 KB · Просмотры: 211
Запустите переименованный avbr в безопасном режиме. После крепите лог AV_block_remove.log и будем добивать заразу.
 
Завтра буду следовать всем указаниям, сегодня на работе к сожалению. Буду очень очень благодарен за помощь, вчера весь день мучился и фрустрировал.
 
Очень может быть, что без Live CD не обойдется, чтобы восстановить права
 
akok написал(а):
Запустите переименованный avbr в безопасном режиме. После крепите лог AV_block_remove.log и будем добивать заразу.
Нажмите для раскрытия...
Дополнительно просканировал фрст на всякий случай
 

Вложения

В вашем случае грядет переустановка ОС. Майнер отобрал у вас права администратора, без них лечение невозможно.
 
Последнее редактирование:
Смысл запускать и выкладывать лог с Live CD? Чтобы запутать помогающих вам людей? Утилита же будет лечить и давать данные по нему, а не вашей системе.
 
akok написал(а):
Запустите переименованный avbr в безопасном режиме. После крепите лог AV_block_remove.log и будем добивать заразу.
Нажмите для раскрытия...
А и авбр удалось запустить только через Hiren's BootCD PE
в безопасном режиме ничего запустить не могу так как прав нет

https://www.hirensbootcd.org/

 
regist написал(а):
Смысл запускать и выкладывать лог с Live CD? Чтобы запутать помогающих вам людей? Утилита же будет лечить и давать данные по нему, а не вашей системе.
Нажмите для раскрытия...
Понял, просто по другому не запускается
 
akok написал(а):
В вашем случае грядет переустановка ОС. Майнер отобрал у вас права администратора, без них лечение невозможно.
Нажмите для раскрытия...
Ты смотришь логи с Live CD, а что там в реальной системе не известно.
И потом с Live CD если даже отобрал права, то можно и пароль сбросить и вообще нового админа создать.
 
  • Like
Реакции: akok
Вернул права администратора через лайв сд, вот лог из безопасного режима
 

Вложения

kaesar0237 написал(а):
Вернул права администратора через лайв сд, вот лог из безопасного режима
Нажмите для раскрытия...
Совсем другое дело, соберите теперь логи по правилам.
И заодно посмотрите какие сейчас проблемы? Подозрение, что у вас там ещё системные файлы повреждены
 
экрана (1).webp

Ну вот например при входе в безопасный режим либо в обычный выбивает такое окно "Не удается войти в учетную запись" при том что я уже вошел, и права админа есть.
Думал переустановить через Media Creation Tool винду с сохранением данных, но вот внизу пример ошибки при запуске. Еще виндовс дефендер не выключается, в настройках вкладка с ним просто не реагирует на нажатия. Ну и там по мелочи слетели настройки и рабочий стол если это важно.
 
1) Ждём логи по правилам раздела. Вижу, что добавили логи.
2) Создайте новую учётную запись и проверьте эти проблемы в ней.
3) Дополнительно, скачайте этот скрипт, запустите расширенную проверку. Полученные логи потом выложите здесь.
 
Вы из Польши?
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Task: {80EA61B7-F7C2-4F39-AE67-AE1D98FC5E49} - System32\Tasks\Microsoft\Windows\WindowsBackup\RealtekCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
Task: {C2DF5A37-8949-4C58-A0CC-DCEA2937F494} - System32\Tasks\Microsoft\Windows\WindowsBackup\OnlogonCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {CE4195CB-4FD9-44A7-B331-714C406E38F4} - System32\Tasks\Microsoft\Windows\WindowsBackup\TaskCheck => C:\Programdata\ReaItekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
Task: {D3D6C2A0-FEB8-43F2-ADD6-625397543F30} - System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck => C:\Programdata\ReaItekHD\taskhost.exe (Нет файла) <==== ВНИМАНИЕ
2022-08-23 14:29 - 2022-08-25 18:39 - 000000000 __SHD C:\ProgramData\ReaItekHD


EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

+ Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

M
Решена Помогите удалить вредоносное ПО с компьютера (майнер, вирус?)
Ответы
13
Просмотры
348
Sandor
Sandor
Z
Решена Подцепил вирус "Майнер", после распаковки активатора Офиса из торрента
Ответы
18
Просмотры
435
Sandor
Sandor
lastdreamer
Решена Есть подозрения на вирус или майнер но не уверен точно
Ответы
15
Просмотры
294
Sandor
Sandor
Назад
Сверху Снизу