Вирус изменил права доступа

Обновлено: 05.05.2024

вирус блокируещий права админа
это засранец даже антивирусник не дает поставить. как его грохнуть.

Вирус блокирует права администратора
Доброго времени суток, вчера 22.06 по своей не внимательности скачал, набор программ, типа амиго.

Вирус блокирует видео с ютуба, блокирует гугл и яндекс
Не даёт просматривать видео с ютуба, сам ютуб недогруженный, яндекс грузит нормально, кроме самого.

Баннер вирус. (autorun, вирус блокирует даже без.режим!) (ВАЖНО)
Доброго времени суток. Недавно друг подхватил баннер, который блокирует всю ОС и просит закинуть.

делайте , выкладывайте логи и лечитесь

Интересный момент. Обычно на ПК всегда одна учетная запись админа, и с учетом того, что программа смогла беспрепятственно урезать учетку в правах - сидели вы непосредственно из админской учетки.

Первая заповедь линуксоидов: не сиди под рутом.
На язык пользователей Windows: не сиди под учеткой администратора!
Именно следование этому несложному правилу может избавить от многих неприятных вещей.

Теперь возникает вопрос: как вы смогли создать новую учетку с правами админа, если для этого нужна учетка с правами админа?
Если создавали из битой админской учетки, то права у нее остались. Если так - то в чем заключается урезанность в правах?

1) я не программист и не продвинутый пользователь, но создать несколько учетных записей под Вистой Про - дело 2-5 минут максимум.
2) нет прав на открытие, запуск, изменение ВСЕХ программ, которые прописаны на компе, или хочу установить из под той учетной записи. То что получилось создать новую учетную запись с правами администаратора, когда вообще практически ничего не запускается . Но это факт, хотя больше из под этой учетки ничего сделать не могу. С другой все ок и запускается и удаляется и т.п. Знать бы что удалить еще.
3) Повторно запустил Касперского - нашел еще 9 зараженных архивов, вылечил/убил что не лечилось.
Но проблема остается.
Логи пришлю, просто может кто в курсе, что можно было сделать. Честно говоря, уже за два дня перепробовал кучу антивирусов, которые де-супер и помогают - эффект нулевой, только потраченное время.

SFOX, я вам предложил сделать то, что поможет избавится от этой проблемы. И чем быстрее вы это сделаете, тем быстрее наступит улучшение

Если сможете в течение часа сделать логи, значит смогу помочь. Нет - тогда скорее всего ждать придется долго. Или можете продолжать писать в эту тему, но в этом случае успеха никто не гарантирует.

Также:
1.Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог, скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

2.Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Вирус блокирует браузер,анти вирус и другие программы
Скачал программу,в процессе установки появилось окно мол отправте смс для.

Вирус блокирует ВСЕ!
Помогите! Сегодня схватила вирус, он блокирует все антивирусы и не открывает офисные программы.

Это не я делал, делал человек по обьявлению, но когда сделал на всех папках права администратора были, это вот только недавно началось, можно он как то это сделал?

Утверждать не берусь, но это никто ему не запретит сделать, тем более при физическом доступе к компьютеру.

knightmare

Пользователь

Та же самая проблема как на прошлом скриншоте, думал может это загрузка но мне кажется просто зависло

knightmare

Пользователь

knightmare

Пользователь

Как альтернатива переустановки, попробуйте воспользоваться первыми 3 пунктами (сброс прав). Делайте в безопасном режиме.

knightmare

Пользователь

knightmare

Пользователь

Скачал, запустил программу в безопасном режиме, проверил всё что там сказано перед тем как сбросить права (3 пункта), все проверки прошёл но там что то находилось и исправлялось, но как дошло до сброса, программа пишет ошибка каждые 30 секунд а потом пишет что то мешает, и предлагает запустить в безопасном режиме но он уже запущен.

knightmare

Пользователь

И еще я не могу включить систему HIPS в антивирусе, пишет что прав нет, да я и ничего там отключить не могу.

knightmare

Пользователь

knightmare

Пользователь

knightmare

Пользователь

knightmare

Пользователь

knightmare

Пользователь

Да всё так же, ничего не происходит а потом Windows не удаётся получить доступ к указанному устройств, нет нужных разрешений

Еще одна идея, если не поможет, то создадите тему в профильном разделе, там больше специалистов могут помочь

Как восстановить права администратора?

Нечаяно удалил пользователя с правами администратора, теперь обычные права. Как восстановить права администратора?

Меня лишили прав Администратора (Windows 7)
Добрый вечер))! Виндоус 7 начал вытворять какие-то чудеса, которые объяснить я не могу! Сначала.

Поиск по умолчанию изменился на getsearch, и для изменения требует прав администратора
Здравствуйте, у меня возникла проблема с рекламой и стандартным поиском. Стоит Касперский, он что.

Вирус блокирующий права администратора
Здравствуйте! Простите, если неправильно внесла в заголовок,но другого названия не могу придумать.

Здравствуйте, уважаемый модератор. Прошу пояснить мне, с вашего позволения, что именно нетактично с моей стороны в том, что я прошу помощи одновременно на двух сайтах?Заранее благодарен.

Помощь оказывается на одном ресурсе. На другом тема будет закрыта. Выбирайте, иначе возможно, помощи так и не дождетесь

что за имя? не Trustedinstaller случайно?

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту. Из того что будет отмечено, удалять ничего не нужно.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

Здравствуй, Katharsis. Проверил систему с помощью программы, рекомендованной тобой. Вирусов не обнаружил. Некоторые папки я не могу удалить, так как мой запрос не отвечает безопасности. Когда приписываю паке нового владельца (Администратор) вместо непонятного длинющего имени, некоторые папки начинают отвечать запросам. находится файл вида рабочего стола с окном "Свойство папки", где обозначены лишние созданные вирусом группы. После назначения администратора владельцем папки в свойствах система никак не реагирует на то, чтобы изменить статус папки с "только чтение". Заранее благодарю за помощь

все сюда выкладывайте, с файлообменников никто ваши логи качать не будет. и потрудитесь ответить на вопрос.

Добрый день, столкнулся с тем, что на компьютере присутствует вирус-майнер, который не получается вылечить с помощью Malwarebytes, потому что "windows не удается получить доступ к указанному устройству, пути или файлу. ". Чувствуется, что права администратора как-то увертливо настроены.

Вирус блокирует Malwarebytes
Уже с декабря ПК заражён вирусом, который ворует пароли, меня спасает только двухфакторная.

Вирус блокирует пользователя -администратора
Антивирусная прог. Avast вирус не находит, ни при начальной загрузке, ни при любом сканировании. .

вирус блокирует права админа
после установки какой то программы (жена устанавливала) заблокировались права администратора под.

После перезагрузки системы соберите новый CollectionLog Автологером.
Антивирус на время сбора логов отключайте.

К сожалению, нет.
Прошу прощения, нужно было подробнее расписать.

Сначала вирус тайно прятал папку от меня и я не мог её увидеть C:\Program Files\Malwarebytes\Anti-Malware.
Потом чуть почистил компьютер и появился этот путь. Но при попытке удалить папку или, например, Dr Web, который попробовал использовать в данной проблеме - выдаёт ошибку.

Я порыскал в логах и увидел, что кроме моей основной учетки (учетка админа) - есть учетная запись, с названием СИСТЕМА, которая также как-то управляет компьютером и перехватывает мои решения.

Прилагаю скрин с процессами пользователя, вдруг это полезно

Если не получается, пробуем так:

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

К сожалению, в работе сисадмина нет-нет да и приходится разрешать пользователям запускать всякий софт с админскими правами. Чаще всего это какие-нибудь странные китайские программы для работы с оборудованием. Но бывают и другие ситуации вроде небезызвестного bnk.exe.

Выдавать пользователю права администратора, чтобы решить проблему быстро и просто, противоречит нормам инфобезопасности. Можно, конечно, дать ему отдельный компьютер и поместить в изолированную сеть, но — это дорого и вообще…

Попробуем разобрать решения, которые позволят и программу запустить, и безопасника с финансистом не обозлить.

Программа может запрашивать права администратора условно в двух случаях:

С первым случаем все понятно: берем в руки замечательную программу Марка Руссиновича Process Monitor, смотрим, что происходит, и куда программа пытается залезть:

Куда это лезет этот 7Zip?

И по результатам исследования выдаем права пользователю на нужный каталог или ветку реестра.

Сложнее, если случай клинический, и так просто выдать права не получится: например, программа требует сильного вмешательства в работу системы вроде установки драйверов. Тогда придется придумывать всякий колхоз, про который речь пойдет в последнем разделе статьи. Пока подробнее освещу второй случай — когда стоит флажок.

Если сильно упростить, то в специальном манифесте программы (к слову, установщики — это тоже программы) могут быть три варианта запуска:

asInvoker. Программа запускается с теми же правами, что и породивший ее процесс (как правило, это explorer.exe c правами пользователя);
highestAvailable. Программа попросит максимально доступные пользователю права (у администратора появится окно с запросом повышения UAC, у пользователя — нет);
requireAdministrator. Программа будет требовать права администратора в любом случае.

Если разработчик твердо решил требовать права администратора, даже если они не нужны, то обойти это можно малой кровью.

Простейшим вариантом работы с этим механизмом будет использование переменных среды.

Рассмотрим пример с редактором реестра. Действительно, запуская regedit.exe под администратором, мы получаем запрос на повышение прав:

Запрос повышение прав.

Если же мы запустим редактор реестра из консоли, предварительно поменяв значение переменной среды __COMPAT_LAYER на:

То запроса UAC не будет, как и административных прав у приложения:

Бесправный редактор реестра.

Этим можно пользоваться, запуская программы батниками или добавляя контекстное меню через реестр. Подробнее читайте в материале How to Run Program without Admin Privileges and to Bypass UAC Prompt?

Поскольку ярлычками тут обойтись не выйдет, ведь 1С сама скачивает файл и запускает его, то придется применять тяжелую артиллерию — Microsoft Application Compatibility Toolkit.

Документация к ПО, как обычно, доступна на официальном сайте, загрузить можно как часть Windows Assessment and Deployment Kit. Сам процесс решения проблемы несложен.

Необходимо поставить утилиту, запустить Compatibility Administrator и создать Application Fix в новой или имеющейся базе данных:

Создаем исправление приложения.

Имя и издатель значения не имеют. Имеет значение только расположение файла — тут нужно указать реальный проблемный bnk.exe (где он будет лежать на самом деле — не важно).

Далее необходимо в списке исправлений выбрать RunAsInvoker.

Выбираем нужный фикс.

Все остальное оставляем по умолчанию, сохраняем базу данных. Должно получиться примерно так:

Созданный фикс для bnk.exe.

После этого достаточно будет установить базу данных, щелкнув по ней правой кнопкой и выбрав Install. Теперь пользователи смогут сами грузить классификаторы банков.

Все становится хуже, если приложению действительно нужны права админа. Тогда добавление прав на системные объекты и исправления не помогают.

Казалось бы, самым очевидным решением для запуска нашего странного ПО выглядит использование встроенной утилиты Runas. Документация доступна на сайте Microsoft.

Ну, посмотрим, что из этого выйдет.

)

Есть один существенный недостаток: пароль запоминается на уровне системы, и теперь, используя команду Runas, можно будет запускать абсолютно любую программу. Это мало чем отличается от прямого предоставления админских прав сотрудникам, так что использовать это решение не стоит.

Зато runas может быть полезен, когда сотрудник знает пароль администратора, но работает под ограниченной учетной записью (по идее так должен делать каждый системный администратор).

Если вкратце: в PS работа с паролями производится через специальный тип данных SecureString и объект PSCredential. Например, можно ввести пароль интерактивно:

Затем сохранить пароль в зашифрованном виде в файл:

И теперь использовать этот файл для неинтерактивной работы:

К сожалению, файл этот можно использовать только на том ПК, на котором его создали. Чтобы этого избежать, можно сделать отдельный ключ шифрования. Например так:

Теперь при помощи этого ключа пароль можно зашифровать:

К сожалению, с безопасностью дела обстоят так же печально: утащить пароль не составляет трудностей, если есть доступ к файлу с ключом шифрования и зашифрованным паролем. Да, можно добавить обфускации и скомпилировать скрипт в .exe вместе с нужными файлами. Но нужно понимать, что это — полумеры.

В свое время я использовал для решения подобных задач свой любимый AutoIt, где компилировал скрипт с командой RunAs и радовался… До тех пор, пока не узнал, что AutoIt (особенно старых версий) декомпилируется на раз-два.

Другим интересным вариантом может быть применение назначенных заданий — если создать назначенное задание от админского аккаунта, пользователю для работы будет достаточно его запуска. К сожалению, для интерактивной работы с приложением это решение не подходит.

На свете существует несколько сторонних решений, призванных решить задачу. Остановлюсь на парочке из них.

Пожалуй, одна из самых известных утилит — это AdmiLink, разработанная Алексеем Курякиным для нужд ядерной физики. Программа и принципы ее работы описаны на официальном сайте. Я, как обычно, позволю себе более краткое описание.

Программа состоит из трех модулей. AdmiLink — это графическое окно, где можно создать ярлык на нужное приложение (в принципе, в ряде случаев достаточно только его).

Основное окно программы.

Помимо непосредственно создания ярлыка (и да, запрос UAC тоже можно подавлять), есть и дополнительные функции вроде калькулятора, терминала и удобных настроек политик безопасности. Со всеми возможностями программы читателю предлагается разобраться самостоятельно.

Второй модуль называется AdmiRun и представляет из себя консольную утилиту. Она умеет запускать приложения от имени администратора, получив в качестве одного из параметров строку, созданную через AdmiLink. В строке шифруется имя пользователя и пароль, при этом участвует и путь к программе.

На первый взгляд все выглядит безопасно, но, к сожалению, код программ закрыт, и насколько можно доверять разработчику — вопрос.

Третий модуль — AdmiLaunch — отвечает за запуск окон в разных режимах, и он используется для запуска AdmiRun, если создавать ярлык через AdmiLink.

В целом, решение проверено годами и поколениями отечественных системных администраторов. Но добавлю и альтернативу из-за рубежа.

RunAsRob — довольно интересное ПО за авторством немецкого разработчика Оливера Хессинга (Oliver Hessing). В отличие от AdmiLink, ПО устанавливается как служба, запускаемая под привилегированной учетной записью (администратора или системы). Как следствие, подготовленный ярлык обращается к службе, которая уже в свою очередь запускает заданное ПО.

Основное окно программы.

Программа богато документирована на официальном сайте.

У этого автора есть еще и программа RunAsSpc, позволяющая запускать исполняемые файлы под правами другого пользователя, передавая учетные данные через зашифрованный файл.

Мне остается только добавить, что это ПО бесплатно только для личного использования.

Но учтите, что из программы, запущенной под административными правами, можно натворить бед. Например, запустить привилегированную командную консоль через диалог Файл — Открыть.

Запускаем cmd.exe прямо из редактора реестра.

Немного защититься помогут политики запрета контекстного меню и прочих диспетчеров задач, часть из которых может настроить AdmiLink. Но в любом случае следует быть осторожным.

А вам приходилось городить странные костыли? Предлагаю делиться историями в комментариях.

Читайте также: