[РЕШЕНО] Не скачивается с сайта Kaspersky Anti-Virus, установщик не может подключится к ресурсу для скачивания KAV (после майнера)

[Mant]

Добрый день. при подозрении на вирус я попытался установить себе KAV. На сайте мне выдало, что в вашем регионе он не доступен. Я попытался скачать CureIt - сайт просто не открылся.

Тогда я скачал CureIt через TOR и запустил его. CureIt обнаружил и удалил майнер, замаскированный под microsofthost.exe и еще к нему несколько копий с разными названиями.

Однако, я все равно не могу скачать Касперского - инсталлятор не может подключится к серверу, откуда качается полная установка.

Согласно инструкции прикладываю архив AutoLogger'a и, дополнительно, скриншоты ошибок.

 

CollectionLog-2022.06.08-22.46.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '');
 QuarantineFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
 DeleteSchedulerTask('Ghostery Update Task-S-1-5-21-470439262-1529925599-2119969590-1001');
 DeleteFile('C:\Program Files (x86)\Transmission\transmission-qt.exe', '64');
 DeleteFile('C:\ProgramData\robotdemo\robotdemo.exe', '');
 DeleteService('Transmission');
 DeleteFileMask('c:\program files (x86)\transmission', '*', false);
 DeleteFileMask('c:\programdata\robotdemo', '*', false);
 DeleteDirectory('c:\program files (x86)\transmission');
 DeleteDirectory('c:\programdata\robotdemo');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(21);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

[Mant]

Все выполнил. Лог в аттаче

CollectionLog-2022.06.09-12.38.zip

[Sandor]

AVZ запускали правой кнопкой от имени администратора? Если нет, переделайте ещё раз именно так, пожалуйста.

 

Если да (запускали от имени админа), дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Mant]

Да, вы правы, запускал не из под админа.

Сейчас что сделал:

1) Запустил AVZ из под админа. процесс прошел, комп перегрузился

2) Запустил Autologger из под админа. сформировался лог. В аттаче

3) также, до кучи, скачал и запустил FRST из под админа. Логи также в аттаче 

Addition.txt FRST.txt CollectionLog-2022.06.09-13.49.zip

[Sandor]

Отлично. Второй "повторный" лог выглядит значительно лучше.

 

Продолжаем:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-470439262-1529925599-2119969590-1001\...\MountPoints2: {250f1684-e6ed-11ec-8287-4061860d137f} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-470439262-1529925599-2119969590-1001\...\MountPoints2: {36ab5c46-a618-11ec-826a-4061860d137f} - "E:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  CHR Notifications: Default -> hxxps://best-loan-info.com; hxxps://ccleaner-download.xyz; hxxps://mail-notification.info; hxxps://mail.yandex.ru; hxxps://mnthor.xyz; hxxps://pinghauz.xyz; hxxps://s-tracking.xyz; hxxps://supertopfreegames.com; hxxps://web.telegram.org; hxxps://web.whatsapp.com; hxxps://www.chitalkino.ru; hxxps://www.mos.ru; hxxps://zarabotok-online.xyz
  CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxps://find-it.pro/?utm_source=distr_m"
  CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
  CHR DefaultSearchKeyword: Default -> cdn
  C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\ablpcikjmhamjanpibkccdmpoekjigja
  C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfgabfnnnaeeendcohljjlcglbgjmcl
  C:\Users\Антон\AppData\Local\Google\Chrome\User Data\Default\Extensions\meejmcfbiapijdfaadackoblffmidlig
  CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
  CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
  CHR DefaultSearchKeyword: System Profile -> cdn
  CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja]
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Антон\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  Ghostery - Privacy Ad Blocker 1.0.0.0 (HKU\S-1-5-21-470439262-1529925599-2119969590-1001\...\{3f2c74ff-c7a8-4598-bc52-dedad59c5d77}) (Version: 1.0.0.0 - Ghostery) Hidden
  Side Bracket 1.1.8.71 (HKLM-x32\...\{47fe5456-aab4-4b8a-ba1b-cfbb98df34e2}) (Version: 1.1.8.71 - Gilles et Fils) Hidden
  ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
  AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ появятся скрытые ранее

Ghostery - Privacy Ad Blocker 1.0.0.0

Side Bracket 1.1.8.71

Удалите.
Не сможете стандартно, удалите принудительно через Geek Uninstaller
 

[Mant]

Программки 

Ghostery - Privacy Ad Blocker 1.0.0.0
Side Bracket 1.1.8.71

появились. Удалил

Fixlog.txt в аттаче

Fixlog.txt

[Sandor]

Пробуйте скачать и установить антивирус.

[Mant]

Да, спасибо! отображение на сайте восстановилось, все скачал и успешно установил.

Спасибо Вам большое!!!

Вопрос закрыт.

[Sandor]

Отлично.

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Mant]

SecuritiCheck в аттаче.

Также, подскажите, встроенные службы Windows нужно включать или при наличии Касперского они не нужны?

SecurityCheck.txt

[Sandor]

16 минут назад, Mant сказал:

встроенные службы Windows нужно включать

Вероятно вы подразумеваете Защитник Windows.

При успешной установке стороннего антивируса Защитник отключается.

 

--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
TeamViewer v.15.10.5 Внимание! Скачать обновления
LibreOffice 6.1.3.2 v.6.1.3.2 Внимание! Скачать обновления
Evernote v. 6.25.1 v.6.25.1.9091 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.40 (64-bit) v.5.40.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
WhatsApp v.2.2212.8 Внимание! Скачать обновления
Zoom v.5.9.1 (2581) Внимание! Скачать обновления
Telegram Desktop version 3.7.3 v.3.7.3
Skype, версия 8.68 v.8.68 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
OpenVPN 2.5-rc2-I601 amd64 v.2.5.017 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player 2.1.1 v.2.1.1 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
CCleaner v.5.92 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

На перечисленное обратите внимание и по возможности исправьте.

 

Читайте Рекомендации после удаления вредоносного ПО

[Mant]

Спасибо, займусь этими вопросами

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".