Вопрос Ситуация. Реально ли вернуть права админа?

[Spectrum735]

Всем доброго времени суток. На неделе столкнулся с такой ситуацией, клиент поймал популярный майнер RealtekHD. Я не долго думая скинул Miner Search, чтобы почистить. Но всё оказалось не так просто. При любом запросе Запустить от админа вылетает ошибка "у вас нет нужных разрешений для доступа к этому объекту". Проверял, дело не в имени файла. У клиента Win 11 Enterprise, поставил себе такую же на виртуалку. Закинул туда вирусный репак с этим майнером. Сёрч справился без проблем, удалил все хвосты майнера, в т.ч. политики Applocker. А у клиента даже до запроса UAC не доходило. Забавно то, что cmd, powershell без прав админа нормально запускаются, а с админом нет. С админом также не запустился Anydesk. Удаленный запрос на повышение также выбивал ошибку. В net user был пользователь John, к сожалению не посмотрел набор прав. Есть идеи как это могло произойти?

 

[X-Shar]

Есть идеи как это могло произойти?

А пользователь имеет права администратора ?

Ну там как происходит, при запросе UAC попытка повышения прав пользователя, если пользователей несколько, то будет запрос на авторизацию администратора и пароль...

Если пользователь один, то произойдет повышение прав с текущей учетки, судя про то-что написано, у пользователя нет прав администратора.

Вот что я рекомендую попробовать:

1)В винде можно включить стандартную учетку администратора (Временно, хотя-бы ), это сделать можно так:

Скопировать в буфер обмена

Откройте командную строку с правами администратора (нажмите Win + X и выберите "Командная строка (администратор)" или "Windows PowerShell (администратор)").
Введите команду: net user administrator /active:yes.
Перезагрузите компьютер и войдите в учётную запись administrator.

2)После входа учетной записи administrator можно любые программы запускать, но надо в учетных записей проверить что локальная учетная запись добавлена в группу "Администраторы".

Откройте "Панель управления" → "Учётные записи пользователей" → "Управление другой учётной записью", там можно изменить группу.

3)Если это не поможет, можно попробовать восстановить систему с помощью "Восстановление системы", но нужно подобрать точки, если они есть.

4)Также можно пересоздать локальный аккаунт.

5)Можно ещё вот-что сделать, проверить: Панель управления\Система и безопасность\Администрирование

Сравни политики, с приведенным скриншотом, может там группа "Администраторы" вообще удалено.)

 

[Spectrum735]

нажмите Win + X и выберите "Командная строка (администратор)

Уже на этом моменте пробовал, вылетает ошибка, аналогично Anydesk, и любые запуски оснасток, действия с админкой приводят к этому, либо отказано в доступе

 

[X-Shar]

А в Панель управления\Система и безопасность\Администрирование можно зайти ?

В безопасном режиме тоже не получается ?

 

[X-Shar]

Похоже вредонос удалил пользователя из группы "Администратор", либо удалил "Администратор" в политиках панель управления\Система и безопасность\Администрирование .

 

[X-Shar]

По идеи в безопасном режиме можно-будет включить локального администратора:
net user administrator /active:yes

 

[Spectrum735]

А в Панель управления\Система и безопасность\Администрирование можно зайти ?

В безопасном режиме тоже не получается ?

Безопасный режим войти не удалось, в режим восстановления тоже. Остальные не успел глянуть, винда перестала грузится и в обычном

 

[X-Shar]

Безопасный режим войти не удалось, в режим восстановления тоже. Остальные не успел глянуть, винда перестала грузится и в обычном

Видимо придется загружаться с диска восстановления, например попробуй это:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Ну или любой другой диск восстановления.

Можно загрузится в консольном режиме и добавить учетку администратора там.

Но самое простое диск восстановления АВ, думаю поможет.)

 

[Spectrum735]

Видимо придется загружаться с диска восстановления, например попробуй это:

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

Ну или любой другой диск восстановления.

Можно загрузится в консольном режиме и добавить учетку администратора там.

Но самое простое диск восстановления АВ, думаю поможет.)

Да уже не важно, клиент всё снёс.

 

[X-Shar]

Ну это 100% способ.)))