0 / 0 / 0
Регистрация: 25.08.2019
Сообщений: 21
1
Поймал вирус, который управляет процессами, не даёт установить антивирус и переустановить Виндоус
01.09.2021, 11:29. Показов 20124. Ответов 13
Всем привет!
Опишу симптомы, что у меня происходит с ноутбуком на Windows 10 и я догадываюсь, что на компе сильный вирус:
— Диспетчер задач закрывается в течение минуты после открытия
— Сам ноутбук сильно тупит и зависает, даже при обычных процессах есть подвисы
— Необходимые приложения для моей работы не загружаются с Интернета, это касается и антивирусов, даже скачивать не даёт (пробовал скачать и установить Аваст, Касперский, АВЗ, Доктор Вэб).
— Заметил такую фигню, что на некоторых страницах с информацией о том, как переустановить Виндоус или лечить компьютер от вирусов (например, такое происходило на ветке «Лечение компьютерных вирусов») — браузер закрывался сам по себе (Опера) или пытается закрыть страницу, приходится нажимать отмену
— И да, на ваш сайт смог зайти только с Оперы с включённым ВПН, так как это один из хостов, который запрещён в Системе и этот файл с хостами скрыт, а по прямому адресу не могу попасть из-за того, что системный файл, могу повредить и т.д., хотя я раньше обычно открывал его на других ПК.
— Обновлениями якобы «управляет ваша организация», скорее всего, поэтому Помощник по обновлению Windows в конечном итоге выдаёт ошибку
— Оказывается, что Защитник Виндоус был отключён «якобы организацией» и с помощью советов удалось провести манипуляции в реестре и включить Дефендер. Но и при быстрой и при полной проверке через несколько минут проверка оканчивается безрезультатно.
— Некоторые команды через диалоговое окно Выполнить не срабатывают, сразу же закрываются (например, gpedit.msc, права Администратора есть)
— Пытался переустановить Виндоус с помощью утилиты от Windows и в итоге после скачивания не запустился.
— Скачал образ и попробовал запустить с компа — не вышло
— Также хотел запустить через Биос флэшку и сейчас пробую разобраться, тоже не срабатывает ((
Скачал Farbar Recovery Scan Tools и выяснил, что многие хосты запрещены, которые помогают являются сайтами антивирусниками или помогают в лечении вируса. Там ещё больше интересной информации, многое из чего я не понимаю. Прилагаю файлы с логами.
Очень прошу вашей помощи, впервые столкнулся с тем, что компьютером управляю не я. Если что-то нужно уточнить, пишите, я готов предоставить нужную информацию
0
Если вирус на компьютере не дает переустановить Windows 10, первым делом необходимо запустить антивирусное ПО и провести полное сканирование системы. Если антивирус не удаляет вирус, можно воспользоваться специализированными инструментами, которые помогут удалить зловредное ПО.
Если это не помогло, необходимо запустить компьютер в безопасном режиме и попытаться выполнить установку Windows 10 с помощью загрузочной флешки или диска. Также можно попробовать отформатировать жесткий диск, чтобы удалить вирус и выполнить установку системы заново.
Если и это не помогает, стоит обратиться к специалисту в области информационных технологий, который поможет профессионально выявить причину и решить проблему.
Как удалить вирусы на Windows в два клика?
НУЖНО ЗНАТЬ! 5 ошибок при УСТАНОВКЕ Windows 10, 7
Это должен уметь каждый! Как установить Windows в 2022 году?😅
Вирус закрывает браузер, блокирует антивирусы и сайты (Решение)
Переустановка Windows 10, без использования загрузочных носителей. Сброс Windows 10
Не открывается антивирусный сайт? Не скачивается антивирус? Не устанавливается антивирус? Решено!
ИСПРАВЛЕНИЕ ЛЮБОЙ ОШИБКИ ПРИ ОБНОВЛЕНИИ WINDOWS 10 за 1 минуту
Не запускается windows 10? Методы восстановления работы
Последнее время в СМИ говорят о новом вирусе под названием MoonBounce, Это очень стойкое вредоносное ПО, которое может «выжить» даже при переустановке операционной системы и форматировании дисков. MoonBounce — не обычный троян или вирус, поражающий Windows, это достаточно сложный буткит (осуществляет модификацию загрузочного сектора MBR), целью которого является UEFI. Такая его особенность позволяет ему противостоять любым изменениям с накопителем или операционной системой.
Материнская плата имеет собственную микросхему памяти — флэш-память SPI, которая содержит программное обеспечение, необходимое для запуска компьютера и поддержки основного аппаратного оснащения. Вредонос внедряется в SPI и может запускаться после переустановки операционной системы и форматирования жёсткого диска. В отчёте компании «Лаборатория Касперского» говорится, что MoonBounce был создан хакерской группой под названием APT41. Из других источников известно, что они связаны с китайским правительством. Буткит впервые обнаружили весной 2021 года, он намного совершеннее, чем два предыдущих вредоноса такого же типа — LoJax и MosaicRegressor.
Как MoonBounce получает доступ к UEFI
Целью MoonBounce является компонент прошивки CORE_DXE, его запуск осуществляется в самом начале при загрузке UEFI. Затем вредоносное ПО перехватывает определённые функции, чтобы внедрить себя в операционную систему, и обращается на удалённый сервер, запрашивая дальнейшие указания. Это приводит к доставке полезной нагрузки следующего этапа для нейтрализации безопасности системы. Атака происходит, когда вредоносная программа модифицирует компонент прошивки UEFI. Злоумышленники могут использовать её для слежки за пользователями, архивирования файлов, сбора информации и так далее. Примечательно, что антивирус «Лаборатории Касперского» не смог отследить заражение на жёстком диске, то есть этот процесс происходит в памяти, не касаясь файлов.
Как предотвратить заражение UEFI
Есть несколько простых способов предотвратить заражение UEFI вредоносным ПО, таким как MoonBounce. Первое, что нужно сделать, — включить безопасную загрузку. Возможно, не зря Microsoft сделала TPM 2.0 обязательным требованием для Windows 11. Установка пароля для доступа к UEFI заблокирует несанкционированные обновления прошивки, тем самым обеспечив дополнительный уровень защиты.
Буткиты в UEFI сложно удалить, поскольку антивирусные программы не работают без операционной системы, но нейтрализовать такие угрозы можно. Даже если не включить безопасную загрузку и не установить пароль, всегда можно перепрошить UEFI, чтобы избавиться от вредоносного ПО. Для этого нужно зайти на сайт производителя материнской платы или ноутбука, найти свою модель и скачать прошивку. Обязательно стоит сверить все данные по материнской плате / ноутбуку, поскольку установка неправильной прошивки может привести к печальным последствиям.
- Обзор Raspberry Pi 5: теперь это компьютер (почти), предыдущие модели не нужны
- Сравниваем излучение телефонов: как оно влияет на организм и стоит ли остерегаться
- Какой ПК собрать в сентябре 2023: лучшие игровые сборки от 53 000 рублей
- Теперь не боюсь за Windows: точки восстановления создаются каждый день. Вот как это настроить
- Какой ПК собрать в августе 2023: лучшие игровые сборки от 51 000 рублей
13 minutes ago, loppener said:
когда захожу на этот сайт, мой браузер предлагает закрыть себя каждые 10 секунд. А при запуске той программы у меня она сама закрывается
Здравствуйте,
У Вас похоже майнер который блокируют доступ к антивирусным продуктам.
Cкачайте, распакуйте и запустите AV block remover или сокращённо AVbr — это утилита, предназначенная для удаления конкретного майнера, в том числе блокирующего установку антвирусного софта и доступ на сайты AV компаний и форумов с лечением. Может применяться и в других случаях при похожих способах блокировки антивирусов.
Симптомы этого майнера: Вирус не дает возможность скачать антивирус, блокирует сайты, закрывает диспетчер задач и gpedit.msc, закрывает браузер при попытке найти или скачать cureit и др. антивирусные утилиты, «пропал» установленный антивирус.
Кстати, помимо майнинга и блокировки антивирусов этот вирус устанавливает RMS. Так что ваши данные тоже могли быть похищены.
Для использования утилиты необходимо:
Скачать утилиту и распаковать её в любое удобное для вас место.
После распаковки временно отключить антивирус (если он у вас есть), в том числе отключить Windows Defender. Если боитесь отключать антивирус, чтобы не скачало ещё больше вирусов, то дополнительно временно отключитесь от интернета.
Запустить файл AVbr.exe
В ходе работы утилиты рядом с этим файлом будет создана папка ..\AV_block_remover содержащая в том числе:
— AV_block_remove.log — лог работы утилиты.
— quarantine.zip — стандартный архив AVZ с карантином удалённых файлов.
— Backup — папка с резервной копией некоторых настроек, изменённых в ходе лечения.
Утилита удаляет сам майнер и его производные.
Снимает запреты на установку антивирусного ПО. В том числе удаляет папки от антивирусов если они пустые, а если не пустые, то восстанавливает на них стандартные права доступа.
Восстанавливает службу теневого копирования.
Если пользователь согласится, то удаляет учётную запись «John», которую создаёт майнер и которая не видна в Управлении учётными записями.
В зависимости от выбора пользователя сбрасывает к состоянию по умолчанию файл Hosts или открывает его для редактирования вручную.
Так как после утилиты всё равно могут оставаться некоторые следы от вируса, либо система может быть параллельно заражена и другим вирусом, то после лечения этой утилиты настоятельно рекомендуется создать тему в разделе лечения. Например в «Помощь в удалении вредоносного ПО» выполнив правила оформления запроса.
Утилита представляет собой оболочку со скриптом для запуска антивирусной утилиты от Олега Зайцева — AVZ. По своему принципу работы аналогична AutoLogger-у. И, точно также как и он, автоматически каждый день пересобирается на сервере.
После того как пролечитесь им соберите свежие логи по правилам.
Никита Добшиков
05.07.2022
Постараюсь вам помочь. Для начала проверьте обновления в Центре обновления Windows и установите доступные. Возможно — не закрыта какая-либо уязвимость. Затем скачайте AV block remover ( ) на любой другой ПК, архив скиньте на флешку и через флешку перекиньте AVbr на заражённую машину. Можно также и с телефоном — качаете на телефон AVbr и через USB-кабель перекидываете на заражённую машину. Далее архив распакуйте на рабочий стол, отключите ПОЛНОСТЬЮ ваш антивирус (если он у вас есть), запустите и дождитесь завершения работы скрипта. Если не запускается — переименовываете. Компьютер перезагрузится автоматически. (Если предложит восстановить файл hosts — соглашайся). После перезагрузки откройте редактор реестра (просто впишите в поиск, или нажмите Win + R, введите regedit и нажмите Enter) и перейдите в нём по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon», и посмотрите на ключи Userinit и Shell. В Shell должно быть написано только «explorer.exe», а в Userinit — «C:\Windows\system32\userinit.exe, «. Если там есть что-то лишнее — удаляете до тех параметров, которые изначально там должны быть. Также перейдите по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, и если вы увидите папку DisallowRun, то смело её удаляете. Да и всё, что будет по этому пути — тоже удаляете, там никаких политик быть не должно. И ещё перейдите по пути HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и удалите там всё, что считаете лишним (кроме ваших программ), то есть программы и файлы, находящиеся по странному пути с различными буквами и со странными названиями. Также удаляете те, которые будут стартовать из папок с названием «Temp», а также файлы с названием «RealtekHD» и «NT Kernel & System», которые стартуют из «ProgramData». Тоже самое проделайте с тем же путём, но уже в HKEY_LOCAL_MACHINE. Если запутались и не знаете, что можно там удалять, а что нет — тогда можете прислать два скрина (с этим путем в HKEY_CURRENT_USER и в HKEY_LOCAL_MACHINE). Если будет ошибка «Реестр отключен администратором» — то сообщите об этом. Теперь вам надо зайти в безопасный режим с поддержкой сетевых драйверов. Для этого нажмите на сочетание клавиш Win + R (Win — клавиша с эмблемой Windows), вводите туда msconfig и нажимаете Enter. Перейдите во вкладку «Загрузка», поставьте галочку возле «Безопасный режим» и выберите «Сеть» чуть ниже. Жмёте «Применить» и «ОК». Перезагружаетесь. Теперь вы заходите в браузер и скачиваете эти утилиты:
1) Dr.Web CureIt! ( );
2) ESET Online Scanner ( );
3) KVRT ( );
4) AdwCleaner ( );
5) HitmanPro ( ).
(P.S. Смотри комментарии, прежде чем выполнять!)