Вопрос Ситуация. Реально ли вернуть права админа?

[Spectrum735]

Всем доброго времени суток. На неделе столкнулся с такой ситуацией, клиент поймал популярный майнер RealtekHD. Я не долго думая скинул Miner Search, чтобы почистить. Но всё оказалось не так просто. При любом запросе Запустить от админа вылетает ошибка "у вас нет нужных разрешений для доступа к этому объекту". Проверял, дело не в имени файла. У клиента Win 11 Enterprise, поставил себе такую же на виртуалку. Закинул туда вирусный репак с этим майнером. Сёрч справился без проблем, удалил все хвосты майнера, в т.ч. политики Applocker. А у клиента даже до запроса UAC не доходило. Забавно то, что cmd, powershell без прав админа нормально запускаются, а с админом нет. С админом также не запустился Anydesk. Удаленный запрос на повышение также выбивал ошибку. В net user был пользователь John, к сожалению не посмотрел набор прав. Есть идеи как это могло произойти?

 

[Spectrum735]

Сказал, что особо ничего важно не было, но самому было интересно разобраться как это получилось. Хотелось бы повторить на виртуалке.

 

[X-Shar]

Сказал, что особо ничего важно не было, но самому было интересно разобраться как это получилось. Хотелось бы повторить на виртуалке.

Судя по всему вредонос удалил пользователя из группы администратора.
Или сделал что-то с политиками.

 

[Spectrum735]

@X-Shar, такие же предположения. Видимо поломал UAC или что-то вроде, вряд ли на это был рассчёт. Очевидно, что пользователь переставит винду. На такой случай думаю найти некий хитрый функционал, типа заюзать эксплоит на повышение)

 

[X-Shar]

Да, там смотря как сделано было.
Вероятно можно было как-то повысит права, но без доп. исследования сейчас только можно строить догадки.

Ты сам можешь попробовать воспроизвести, например удалить пользователя из группы администратор, или в политиках удалить везде группу администратор и посмотреть что будет.
Ну и попробовать как-то исправить ситуацию.)

 

[Spectrum735]

@X-Shar, буду думать)