Что за вирус админ-к

Обновлено: 25.04.2024

Добрый день, столкнулся с тем, что на компьютере присутствует вирус-майнер, который не получается вылечить с помощью Malwarebytes, потому что "windows не удается получить доступ к указанному устройству, пути или файлу. ". Чувствуется, что права администратора как-то увертливо настроены.

Вирус блокирует права администратора
Доброго времени суток, вчера 22.06 по своей не внимательности скачал, набор программ, типа амиго.

Вирус блокирует Malwarebytes
Уже с декабря ПК заражён вирусом, который ворует пароли, меня спасает только двухфакторная.

Вирус блокирует пользователя -администратора
Антивирусная прог. Avast вирус не находит, ни при начальной загрузке, ни при любом сканировании. .

вирус блокирует права админа
после установки какой то программы (жена устанавливала) заблокировались права администратора под.

После перезагрузки системы соберите новый CollectionLog Автологером.
Антивирус на время сбора логов отключайте.

К сожалению, нет.
Прошу прощения, нужно было подробнее расписать.

Сначала вирус тайно прятал папку от меня и я не мог её увидеть C:\Program Files\Malwarebytes\Anti-Malware.
Потом чуть почистил компьютер и появился этот путь. Но при попытке удалить папку или, например, Dr Web, который попробовал использовать в данной проблеме - выдаёт ошибку.

Я порыскал в логах и увидел, что кроме моей основной учетки (учетка админа) - есть учетная запись, с названием СИСТЕМА, которая также как-то управляет компьютером и перехватывает мои решения.

Прилагаю скрин с процессами пользователя, вдруг это полезно

Если не получается, пробуем так:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Меня лишили прав Администратора (Windows 7)
Добрый вечер))! Виндоус 7 начал вытворять какие-то чудеса, которые объяснить я не могу! Сначала.

Поиск по умолчанию изменился на getsearch, и для изменения требует прав администратора
Здравствуйте, у меня возникла проблема с рекламой и стандартным поиском. Стоит Касперский, он что.

Вирус блокирующий права администратора
Здравствуйте! Простите, если неправильно внесла в заголовок,но другого названия не могу придумать.

Здравствуйте, уважаемый модератор. Прошу пояснить мне, с вашего позволения, что именно нетактично с моей стороны в том, что я прошу помощи одновременно на двух сайтах?Заранее благодарен.

Помощь оказывается на одном ресурсе. На другом тема будет закрыта. Выбирайте, иначе возможно, помощи так и не дождетесь

что за имя? не Trustedinstaller случайно?

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Здравствуй, Katharsis. Проверил систему с помощью программы, рекомендованной тобой. Вирусов не обнаружил. Некоторые папки я не могу удалить, так как мой запрос не отвечает безопасности. Когда приписываю паке нового владельца (Администратор) вместо непонятного длинющего имени, некоторые папки начинают отвечать запросам. находится файл вида рабочего стола с окном "Свойство папки", где обозначены лишние созданные вирусом группы. После назначения администратора владельцем папки в свойствах система никак не реагирует на то, чтобы изменить статус папки с "только чтение". Заранее благодарю за помощь

все сюда выкладывайте, с файлообменников никто ваши логи качать не будет. и потрудитесь ответить на вопрос.

вирус блокируещий права админа
это засранец даже антивирусник не дает поставить. как его грохнуть.

Вирус блокирует видео с ютуба, блокирует гугл и яндекс
Не даёт просматривать видео с ютуба, сам ютуб недогруженный, яндекс грузит нормально, кроме самого.

Баннер вирус. (autorun, вирус блокирует даже без.режим!) (ВАЖНО)
Доброго времени суток. Недавно друг подхватил баннер, который блокирует всю ОС и просит закинуть.

делайте , выкладывайте логи и лечитесь

Интересный момент. Обычно на ПК всегда одна учетная запись админа, и с учетом того, что программа смогла беспрепятственно урезать учетку в правах - сидели вы непосредственно из админской учетки.

Первая заповедь линуксоидов: не сиди под рутом.
На язык пользователей Windows: не сиди под учеткой администратора!
Именно следование этому несложному правилу может избавить от многих неприятных вещей.

Теперь возникает вопрос: как вы смогли создать новую учетку с правами админа, если для этого нужна учетка с правами админа?
Если создавали из битой админской учетки, то права у нее остались. Если так - то в чем заключается урезанность в правах?

1) я не программист и не продвинутый пользователь, но создать несколько учетных записей под Вистой Про - дело 2-5 минут максимум.
2) нет прав на открытие, запуск, изменение ВСЕХ программ, которые прописаны на компе, или хочу установить из под той учетной записи. То что получилось создать новую учетную запись с правами администаратора, когда вообще практически ничего не запускается . Но это факт, хотя больше из под этой учетки ничего сделать не могу. С другой все ок и запускается и удаляется и т.п. Знать бы что удалить еще.
3) Повторно запустил Касперского - нашел еще 9 зараженных архивов, вылечил/убил что не лечилось.
Но проблема остается.
Логи пришлю, просто может кто в курсе, что можно было сделать. Честно говоря, уже за два дня перепробовал кучу антивирусов, которые де-супер и помогают - эффект нулевой, только потраченное время.

SFOX, я вам предложил сделать то, что поможет избавится от этой проблемы. И чем быстрее вы это сделаете, тем быстрее наступит улучшение

Если сможете в течение часа сделать логи, значит смогу помочь. Нет - тогда скорее всего ждать придется долго. Или можете продолжать писать в эту тему, но в этом случае успеха никто не гарантирует.

Также:
1.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

2.Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Вирус блокирует браузер,анти вирус и другие программы
Скачал программу,в процессе установки появилось окно мол отправте смс для.

Вирус блокирует ВСЕ!
Помогите! Сегодня схватила вирус, он блокирует все антивирусы и не открывает офисные программы.

Тенденции

Соединение Video.UI.exe c сервером Akamai Technologies

Доброго времени суток. Вопрос к продвинутым пользователям компьютеров, безопасникам, админам.

Такое вот соединение было процесс Video.UI.exe c сервером Akamai Technologies. В инете пишут, что этот сервер используется службами обновления винды. Video.UI.exe приложение из набора стандартных приложений winddows. Но зачем файлу видеопроигрывателя туда лезть?

соединение Статус Closed_item, видимо значит Неактивно. В инете не нашел информации по связи этого файла и сервера.

wiki: Akamai Technologies — поставщик услуг для акселерации веб-сайтов, провайдер платформ доставки контента и приложений. Использует 240 000 территориально распределённых серверов для более быстрой доставки контента посетителям.

Вирус

Под утро там лежат два трупа:
Окоченевший сисадмин,
Винда, разбитая до пупа,
А вирус цел и невредим.

И бился он три дня, три ночи,
И свету был он нелюдим,
И закричал он: "Нету мочи!
Уж лучше б Убунту установил!"

И раскололась голова,
А манускрипты, что он пошёл читать,
Не помогли ему в ту злую ночь,
Лишь больше натянулась мгла.

Под утро там лежали трупы:
Замученный тот сисадмин,
Винда обведена там белым,
А вирус всё нули строчил.

Ростелеком вирусная активность и перенастройка роутера tp-link TD-w8961ND(ru) v 3

Так как я работаю сис админом, и люблю бухгалтерию, вчера пока делал у них настройку пк зашел разговор что сейчас у всех пользователей Ростелеком(далее РТ) (а в нашем городе это ед проводной интернет) проблемы с роутерами TP-link, и что их несут перепрошивать в РТ, где уже очередь людей в будни, а в выходные так вообще ужас какой то, я человек добрый по натуре сразу предложил свою помощь просто так:

мол приносите, помогу сделаем.

Немного о самом вирусе и его активности, распространяется в сети Ростелеком, используя уязвимость в старых версиях прошивки для роутеров TP-Link, в лучшем случае у вас просто будут сбои с интернетом, в худшем из-за настроек DNS серверов, что раздаёт роутер ваши устройства и пк могут пересылать всю информацию через чужой DNS и на вашем пк завелся вирус поэтому если у вас нет Постоянного антивируса проверьте бесплатными утилитами от Касперского или Dr web. Официально очень очень старые роутеры которые не поддерживаются с 2009 года защищать новой прошивкой не будут, предлагают лишь сбросить настройки на заводские и настроить с нуля.

Сразу оговорюсь, для скачивания прошивок с офф сайта можно использовать: 3g/4g модемы, сотовый телефон как модем(так же скачать на свой телефон и потом скинуть на комп), использовать другой комп для скачивания на работе, у друзей соседей, или пользуйтесь открытым Wi FI!

сегодня принесли вот этих двух красавцев.

оба TD-w8961ND(ru) и аппаратная версия на одном v 3.0 на другом v 3.3 (посмотреть версию аппаратной прошивки можно на корпусе роутера с низу есть наклейка, это очень важно потому что например прошивка версии 4 не установится, и как пишет сапорт ТП линка что может сделать ваш роутер кирпичом) но для нас это роли не играет, файл прошивки подошел один и тот же.

и так первым делом что нам надо попасть в сам роутер (буду писать пошагово с картинками с телефона, так что уж простите за длиннопост)

Прошивка роутера делается через провод, через Wi-fi делать не советую это крайне опасно можете получить кирпич!!

Подключаем наш роутер к ПК кабелем что идет в комплекте как на фото

один его конец в роутер

другой в сетевую карту ПК

1.Зайти в роутер

3. Обновить ПО на роутере

4.Сделать настройки для пользования интернетом.

1. Заходим в роутер

да и честно говоря паролей от веб интерфейса который нам нужен, владельцы Роутеров не знают. поэтому делал сброс до заводских настроек.

Берём: Ручку, карандаш, скрепку или что найдете под рукой и нажимаете на кнопочку в отверстие RESET как на фото

и держите 10-14 секунд. на самом роутере должны потухнуть все лампочки и начаться включение. после чего роутер сброшен к заводским настройкам и используя данные с роутера(с низу у роутера приклеена наклейка с данными по входу, логину и паролю)

как мы видим адрес для входа через браузер 192.168.1.1 пользователь admin и пароль тоже admin.

как дотошный сис админ сразу открываю настройки локальной сети, потому-что они могут быть забиты ручками, а не получать от роутера автоматически.

так как у меня под рукой только Windows 8 все настройки и фото будут делаться под ней, но на все остальные очень похожи.

Открываем панель управления\Сеть и интернет\ Сетевые подключения или Центр управления сетями и общим доступом\ Изменения параметров адаптера

всё довольно легко можно найти по поиску в меню Пуск

Находим подключение по локальной сети. Жмем два раза левой кнопкой мыши, получится примерно так, жмем Сведения или Состояние

там должно получиться примерно так

если же нет, закрываем окно состояния наших настроек, открываем св-ва (очень важно что у вас должны быть права на изменение настроек точнее администратора) левой кнопкой выбираем подключение по локальной сети версии 4 и у нас загорятся св-ва, жмем на кнопку св-ва и попадаем в настройки Локальной сети где выставляем галочки получение ip адреса автоматически и получение DNS серверов автоматически. и нажимаем ОК потом Закрыть, после чего настройки применяться

если всё наши настройки правильные, то забив в браузер 192.168.1.1

мы получим окно с вводом логина и пароля. (к сожалению идея написать пост пришла уже после настройки и перепрошивки роутера и окно входа внешне изменилось, надеюсь это вас не смутит)

2. Качаем прошивку с офф сайта TP-link

наш роутер живет вот по этому адресу на официальном сайте

выбрав аппаратную версию нашего устройства открываем Встроенное ПО, я качал первые 2 прошивки TD-W8961ND(RU)_V3_160314 и TD-W8961ND_V3_150130_RU

с которыми я был успешно послан самим роутером в виде Ошибка: Не получилось выполнить обновление по причине… Закгруженный файл не был принят маршрутизатором.

по звонку в тех поддержку, пришлось их обмануть, что не пользуюсь услугами РТ так как при выборе этого пункта они меня отправляли читать форум и просто искать в чем проблема самому. Выбрал 2 вариант у другого провайдера, где девушка оператор выслушала меня уточнила пункты и направила на форум где мой роутер буквально второй в списке и есть 2 версии прошивки, я ставил версию 14 года TD-W8961ND_V3_140408_RU её достаточно, что бы закрыть уязвимость.

Важно вы качаете архив, разархивируйте его!

получив файл в папке, у меня получилось вот так

3. Обновление ПО

открываем настройки роутера: Эксплуатация устройства\Встроенное ПО

выбираем где лежит наш файл(кнопка обзор) и жмем обновить.

Дожидаемся когда закончится обновление строка дойдет до 100% и страничка должна обновиться, если не обновиться попробуйте обновить её самостоятельно или зайти по адресу 192.168.1.1

ОЧЕНЬ ОЧЕНЬ ВАЖНО.

ОБНОВЛЯТЬ ЧЕРЕЗ ШНУР, ВО ВРЕМЯ ОБНОВЛЕНИЯ ШНУР НЕ ВЫТАСКИВАТЬ, ПИТАНИЕ НА РОУТЕРЕ\ПК НЕ ОТКЛЮЧАТЬ.

4. Настройка Роутера

Вариант №1 Быстрая настройка

От вас тут требуется минимум действий =) и подойдет для большинства пользователей.

Нажимаем Быстрый старт

в Открывшимся окошке жмем далее. выбираем часовой пояс жмем далее.

Далее прошу обратить внимание на VPI и VCI

по умолчанию они другие, делаем как на картинке и вбиваем логин пароль из договора или карточки что выдавали в РТ.

В настройках беспроводной сети прописываем Имя своей беспроводной сети. Тип аутентификации выбираем WPA/WPA2 (по опыты могу сказать что WEP быстрее взламывают, бывают такие любители) Но если ваше устройство поддерживает только Wep(были на моей памяти такие смартфоны) выбираем его и пароль или 5 символов или 10.

Для WPA минимальные требования 8 символов в пароле максимум 63 но я не проверял )

Соответственно имя и пароль придумываем свои )

Потом далее далее. и вам напишет что настройки сохранены.

Вроде бы тут уже подключай роутер, да пользуйся, но я решил проверить WI-Fi и оказалось что по умолчанию, он не включен на этой прошивке, хотя в быстром старте я явно сказал, что бы был включен. Открываем настройки как на картинке и выставляем точки в местах где отметил квадратиком

как вы видите на картинке выше все поля не активны, надо выставить точки на включено в обоих местах

и получится вот так

в самом низу страничке будет кнопка сохранить! нажимаем не забываем.

ну и поставим пароль на Доступ к роутеру через веб интерфейс

Вот теперь можно пробовать подключать роутер и смотреть есть ли интернет, настройки могут отличаться и в случае отсутствия интернета хорошо бы позвонить в тех поддержку РТ и уточнить.

Вариант настройки №2

тут настроек особо нет и большая часть данных выше, но:

шаг первый открываем

выставляем все данные что отмечены квадратиком, трогать мультикаст я не стал, потому-что у каждого могут быть свои индивидуальные настройки, кто то отключает если роутер выделывается, кто то для ТВ использует.

Для настройки Wi Fi

выделил следующие настройки красным так как считаю что они и нужны и можно сказать индивидуальны, по опыту работы в многоквартирных домах видел что на 1 канале сидело несколько Wi Fi устройств из-за этого были проблемы с подключением, так же пропускную способность стоит поставить или 40 МГц или как на скриншоте 20/40. Ну и указываем Имя и пароль беспроводной сети. Сохраняем настройки

и Используя инструкцию выши задаём пароль на веб интерфейст!)

Пост очень длинный с картинками сумбурный, но старался делать всё как делается у других! надеюсь данный пост помог тем кто хочет перепрошить на новую прошивку свой роутер или столкнулся с данной проблемой.

Котиков на работе нет, а мои сиськи вам будут не интересны :D так что на этом всё!

P.S. Могут быть ошибки или не правильная пунктуация! но всегда можно отредактировать ;)

Повседневно я работаю в обычной учетной записи (член группы Пользователи). Мне надо установить программу от имени администратора. Допустим, вирус заразил мою неадминистраторскую учетную запись и ждёт пока я запущу в чтонибудь от имени администратора чтобы узнать пароль адмнистратора и завладеть системой. Получается, что для того чтобы вирус обломался с паролем администратора, мне невкоем разе нельзя светить в зараженном сеансе пароль администратора. Я незапускаю какое попало ПО, работает по жесткой схеме SRP, но вирус мог пробраться через документ Word, например.

Получается, для того чтобы всё было максимально красиво и безопасно, надо ОБЯЗАТЕЛЬНО перелогиниваться, а не запускать от имени администратора?

а как насчет антивиря? он перехватит твой вирус либо еще на этапе открытия файла, либо при появлении вируса в памяти, либо эвристикой при анализе поведения.
если конечно антивирь правильный (например типа Комода) и своевременно обновляемый.

Ты один из тех кто наивно считает, что антивирус (любой) это надежная защита от вирусов. Без разницы какой, правильный, неправильный, красный или зеленый.

Всем, кто повседневно работает в системе в режиме администратора, можно дальше не читать. Итак. Если некоторый хитрый вирус способен выловить пароль в то время когда я запускаю что либо из под ограниченной учетной записи (член группы Пользователи) с помощью "Запустить от имени администратора", тогда делать очень опасно, так как есть реальный риск заразить всю систему, а нетолько свой пользовательский профиль. Тогда получается, что для запуска чего либо с правами администратора есть только один безопасный путь и это - перелогон. Как вы полагаете?

думаю если закрыть доступ на запись в
HKEY_CLASSES_ROOT\exefile\shell\runas
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas
то это от многого спасёт и не потребуется делать перелогон.

Цитата
WindowsXP пишет: Если некоторый хитрый вирус способен выловить пароль в то время когда я запускаю что либо из под ограниченной учетной записи (член группы Пользователи) с помощью "Запустить от имени администратора", тогда делать очень опасно, так как есть реальный риск заразить всю систему, а нетолько свой пользовательский профиль. Тогда получается, что для запуска чего либо с правами администратора есть только один безопасный путь и это - перелогон. Как вы полагаете?

Цитата

WindowsXP пишет:
Если некоторый хитрый вирус способен выловить пароль в то время когда я запускаю что либо из под ограниченной учетной записи (член группы Пользователи) с помощью "Запустить от имени администратора", тогда делать очень опасно, так как есть реальный риск заразить всю систему, а нетолько свой пользовательский профиль. Тогда получается, что для запуска чего либо с правами администратора есть только один безопасный путь и это - перелогон. Как вы полагаете?

а разве запуск от имени администратора в винде требует пароля? он же его не требует и при запуске задачи от админа запускается именно эта задача, т.е. зловред может залезть если он пролез в запускаемый тобой экзешник, либо если он работает в системе и может на лету прилипать к исполняющимся файлам, в этом случае спасет только перелогин, так как его нужно выгрузить из исполняющихся процессов - либо убить его процесс, что мало вероятно из под ограниченной учетки. А пароль админа зловреды пытаются брутить

2 SAMBO: runas /noprofile /user:mymachine\administrator cmd запросит у тебя пароль пользователя "administrator".
2 WindowsXP: сомневаюсь что вирусяка будет пытаться подбирать пароли из того текста который ты вводишь с клавы.

Ты от чего уберечься то хочешь…. От полного заражения системы… или просто думаешь, что кто то охотится за твоим админским паролем. Вирусов огромное множество и следовательно может быть множество вариантов продолжения события. Еще есть зависимость от того под какой версией окон ты работаешь… По хорошему Если есть подозрения что в системе зараза, то просто проверь комп несколькими бесплатными утилитами разных антивирных контор…

Цитата
Думаешь вирусописатели небудут так заморачиваться?

вы либо не представляете до конца о чем говорите, либо помешанны на безопасности. впервом случае рекомендую книжку "Записки исследователя компьютерных вирусов", во втором могу только предложирть сменить ось на никс

Цитата
Думаешь вирусописатели небудут так заморачиваться?

предполагаю что:
1. большинство пользователей (на которое и расчитаны вири) проводят свое время в на форумах и сайтах аля вконтакте. В следствии чего за день сей пользователь набивает тучу слов, среди которых с очень малой вероятность встретится пароль. (не выгодно)
2. необязательно пользователь заразившейся вирём сидит под админкой (в следствии чего его пароль нам не нужен). А если и сидит под админкой, то ему ничто не мешает выполнить команду "net user /add SUPPORT_ds380941a2".
3. лишняя волокита с написанием отдельных утилит и тому подобное - мне бы было лениво.
Имхо: если ваши действия и имеют смысл, то мне кажется вы пытаетесь защититься от узкого круга вирусов.
З.Ы. нету полной панацеи от защиты компа от виря (не антивирь, ни *никс, не запрет на запуск файлов кроме как разрешённых) (с) КО

Читайте также: