Seinlar 0 Опубликовано 15 августа, 2022 Share Опубликовано 15 августа, 2022 Неделю назад комп словил нехорошую бяку, контролируемый доступ к папкам начал жаловаться на task manager, defender и другие нормальные системные процессы. Откат системы помог ровно до первого скачанного из интернета файла(безобидного, просто с любым файлом качается что-то ещё) и всё по новой. По свей наивности решено было переустановить Винду. Старым дедовским методом с шапочкой из фольги на голове. Без подключения к сети, интернету и выключенным роутером, с отсоединённым диском D, и с помощью консоли перед установкой были очищены все разделы диска (включая скрытые), потом с помощью интерфейса удалены и объединены заново. Роутер был сброшен, биос обновлён. Диск d не подключался. Но это помогло чуть более, чем никак. Всё повторилось, но никаких ошибок defender уже не выдавал. Тогда же попробовал kaspersky total security, dr.web curelt, malawarebytes (с оф сайтов пробные периоды) (каждый раз на чистой системе). Антивирусы ничего не находят (максимум в отчёте доктор веба были подозрения на вирусы в папке appdata/temp) Процессор при действии этого чудесного Майнера загружен на 100, при открытии диспетчера всё приходит в норму и потом по новой. У меня такая проблема на компьютере и ноутбуке. На них стоит разная винь10. На ноуте домашняя, на компе про. Первая предустановленная, вторая скачана с официального сайта Майкрософт и образ создан официальной утилитой Майкрософт. Обе лицензии с ключами, привязанными к материнке. На компе сейчас больше нет нифига - после переустановки не устанавливались никакие дрова, никакие флешки, не подключались к инету, в общем никаких действий не производилось. Ноутбук был сброшен до заводских настроек средствами вин 10. В итоге на обоих устройствах в пункте "для разработчиков" стоит галочка, которую невозможно поменять ни стандартным способом, ни с помощью самой powershell, в пункте powershell стоит "измените политику выполнения так, чтобы можно было выполнять локальные сценарии PowerShell без подписи" И пункт удаленный рабочий стол "изменить параметры так, чтобы установить удалённое подключение к этому компьютеру" Начнём с того, что в домашней сборке этого отрадясь не было. Я не пользуюсь powershell, скриптами, immersive control panel, сырыми приложением и всем подобным. Закончим тем, что изменение реестра, групповых политик и прочего не изменяет эти продвинутые фичи, которые при попытке отключения просто тихой сапой включаются обратно при переходе на другую вкладку настроек. Антивирусы считают, что мой pc корпоративный и отключение корпоративных политик не помогает. Как и отключение разрешений в брандмауэре (в котором тоже указан удалённый доступ к компьютеру) Просканировал систему avz и farbar recovery scan tool. Последняя указывает на скрытые разделы на диске, которые не отображаются нигде больше. Пожалуйста, помогите избавиться от этой заразы. Скан avz и farbar Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 15 августа, 2022 Share Опубликовано 15 августа, 2022 давайте ка стандартные логи в начале. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Seinlar 0 Опубликовано 15 августа, 2022 Автор Share Опубликовано 15 августа, 2022 CollectionLog-2022.08.15-15.25.zipПростите за дублирование, сижу со старого телефона и туплю. Все сделано по инструкции, базы сегодняшние (интернет отключён). CollectionLog-2022.08.15-15.25.zip Цитата Ссылка на сообщение Поделиться на другие сайты
akoK 138 Опубликовано 15 августа, 2022 Share Опубликовано 15 августа, 2022 (изменено) Пока ничего вредоносного не видно "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft - O7 - Policy: Permissions on key are restricted - HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Изменено 15 августа, 2022 пользователем akoK 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Seinlar 0 Опубликовано 15 августа, 2022 Автор Share Опубликовано 15 августа, 2022 CollectionLog-2022.08.15-15.25.zip Так выше в самом первом комментарии всё это есть по ссылке на гугл диск. Дата сегодняшняя. Очень похоже описывает эту тему эта статья https://blog.avast.com/ru/razbor-virusa-ispolzuyuschego-programmu-udalennogo-kontrolya-teamviewer Были документы office, открытые несмотря на предупреждение о безопасности. Теперь вместо чистой системы устанавливается что-то непонятное. При попытке пофиксить проблемы с помощью Farbar, после перезагрузки все возвращается в исходное состояние. Фиксишь снова, и снова после перезагрузки он находит те же дыры в безопасности. Цитата Ссылка на сообщение Поделиться на другие сайты
Seinlar 0 Опубликовано 15 августа, 2022 Автор Share Опубликовано 15 августа, 2022 CollectionLog-2022.08.15-15.25.zip Не могу избавиться от этой битой ссылки выше, она не удаляется, не обращайте внимание пожалуйста. Вот архив с отчётами. Скрипты в forbar выполняются, но после перезагрузки он находит все те же проблемы, что уже "как бы" фиксил. Так что это не помогает. Я понимаю, что тут стандартной калькой не обойдешься, но от этого жду ответа ещё больше. Farbar нашел проблемы, я нашёл выключенную галку "защита от подделки" в defender, которая так же на место не становится. Что это, как не полностью хакнутая винда? На двух устройствах одновременно одни и те же симптомы, одни и те же отчёты. Которые как бы говорят, что из защиты сделан швейцарский сыр. avz+farbar.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.