Перейти к содержанию
Правила раздела

[РЕШЕНО] Сбой при работе KRD

Danchik

Автор Danchik
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Danchik

Danchik

Опубликовано
Опубликовано

Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?

Danchik

Danchik

Опубликовано
  • Автор
Опубликовано
Только что, Sandor сказал:

Автологер запускается?

Нет, вообще ничего. Просто черный экран.

 

Danchik

Danchik

Опубликовано
  • Автор
Опубликовано (изменено)

Автологер запускается, но на этапе открытия браузеров закрывается, я даже не успеваю понять, что происходит. Соответственно, архива с логами тоже нет.

 

В дополнение: нашел в сети, как можно запустить установку KVRT. Теперь она запускается и сразу вылетает.

Изменено пользователем Danchik
Дополнение
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером.
 

  • Спасибо (+1) 1
Danchik

Danchik

Опубликовано
  • Автор
Опубликовано

Этот же вирус не пускает на форум через ПК. Есть возможность зайти на форум, потому как через мобильное устройство неудобно скачивать программы?

 

После AVbr форум заработал, да и установка KVRT тоже перестала вылетать. Пока утилиты, помимо указанных, не трогаю. Что-то нужно ещё сделать? 
Отправляю логи:

CollectionLog-2022.07.12-15.11.zipAV_block_remove_2022.07.12-15.03.log
 

Sandor

Sandor

Опубликовано
Опубликовано (изменено)

Хорошо, продолжаем:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Temp');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

Далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено пользователем Sandor
  • Спасибо (+1) 1
Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1791479987-4018198629-676133719-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
2022-07-12 15:48 - 2022-07-12 15:48 - 000000000 ____D C:\KRD2018_Data
Unlock: C:\FRST
Unlock: C:\ProgramData\Windows Tasks Service
2022-07-11 21:32 - 2022-07-12 15:26 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2022-07-11 21:32 - 2022-07-12 15:19 - 000000000 ____D C:\KVRT2020_Data
2022-07-11 21:32 - 2022-07-12 15:04 - 000000000 ____D C:\Program Files\RDP Wrapper
2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\Program Files (x86)\IObit
2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\AdwCleaner
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\WavePad
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\RobotDemo
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\PuzzleMedia
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\FingerPrint
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\Evernote
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Ravantivirus
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Rainmeter
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Process Lasso
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\DrWeb
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\AV
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Bitdefender Agent
2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 ____D C:\Users\Даня\AppData\Roaming\RMS_settings
2022-07-11 21:31 - 2022-07-11 21:31 - 000000000 ___HD C:\Users\John
HKU\S-1-5-21-1791479987-4018198629-676133719-1002\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{BCF0EC78-DF4A-431F-8FC7-19A753E21579}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{226087D9-83B1-4E4C-926A-8815C5387112}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{FCBCC7C2-77CE-4377-B041-EECEA33A8FB6}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{C82B177F-1929-452B-B974-67918CF52B57}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{7517CB7B-705F-4341-AE2D-096918DF7372}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
FirewallRules: [{CCFAFD3E-8110-45BD-BDF2-977793C7A5CD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
FirewallRules: [{C581079E-A704-4C5E-BDCA-E4AD63EC18A1}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Что сейчас с проблемой?

Кстати, вы не описали как проявлялось и по какой причине стали пытаться лечить.

  • Спасибо (+1) 1
Danchik

Danchik

Опубликовано
  • Автор
Опубликовано (изменено)

Начну с того, что на компьютере вообще отсутствуют антивирусы ввиду того, что я придерживаюсь мнения: "Если кому-то нужно заразить устройство, он и с антивирусом это сделает".

В общем, вчера качал я игры с сайта burytor.
В одном из торрентов скачался файл "игры". При установке он назывался так же.
Я, не придав этому никакого значения, после установки, увидев всё-таки файл "Игры", решил удалить его.
После этого ноутбук начал зверски греться. По началу я подумал, что это из-за поверхности, на которой он был установлен 🤣.

Сегодня с утра, решил провести проверку на вирусы и полез на сайты для скачивания. Ни один сайт с антивирусами просто не открывался.

В конечном итоге, удалось скачать KVRT, KRD, HitmanPro, DrWeb LiveDisk. KVRT и Hitman не запускались.  
Записал на флешку KRD, а дальше Вы знаете. С LiveDisk та же лажа.
Больше придумать ничего не смог, стал звонить в поддержку DrWeb, где был отправлен разбираться сам ввиду отсутствия платной подписки.
Позвонил в поддержку Kaspersky, меня отправили на форум Community.Kaspersky. 
Введя в поиске, наткнулся на форум, на котором Вы помогли мне решить вопрос.

До сегодняшнего дня с форумом этим не сталкивался, все вирусы всегда лечились Хитманом.

Впервые узнал о том, что программа для записи логов может еще и подлечить мой компьютер :)

 

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу. Отпишусь после этого.

 

---------------------------
 

Спасибо Вам ОГРОМНОЕ. Без Вас у меня бы ничего не получилось.
 

 

Насчёт проблемы: не решилась.

До сих пор при запуске KRD просто горит черный экран и ноутбук не отвечает.

Изменено пользователем Danchik
Sandor

Sandor

Опубликовано
Опубликовано
6 минут назад, Danchik сказал:

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу

Верно, уже нет смысла.

 

А смысл есть проделать завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • Iskrinkagame
      [РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.
      Автор Iskrinkagame
      Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.
       
       

    • Nickz1337
      [РЕШЕНО] Неизвестный вирус
      Автор Nickz1337
      Доброе утро! Поймал очень хитрый вирус-майнер на свой ноутбук, который блокирует все антивирусное ПО(cureit! например, не дает нажать кнопку продолжить) и так же не дает ничего скачать(при поиске любого АВ выкидывает на некий гугловский шлюз, который не пускает на сайт). Безопасный пуск не работает, проблема сохраняется. Попробовал создать образ cureit USB, и тут так же столкнулся с проблемой - BIOS не определяет флешку как USB, зато определяет как HDD, и даже если попытаться отключить основной накопитель, чтобы запустится с нее, BIOS выдает ошибку Boot failed.
      При этом вирус как я понимаю дает пользоваться портами без проблем. 
      Прошу помощи, никаких логов у меня нет, промучился всю ночь перед работой, как можно обойти это?
       
      Добавлю, что нашел тему на форуме тут, очень похоже на мою ситуацию, хотя работает немного иначе.
       
      Сработает ли способ с этого решения, если запустить с флешки exe антивирусника?
       
    • Гюнтер1613
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!
      Автор Гюнтер1613
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Также говорит об mem:backdoor.win32.insistent.gen
      Тоже лечение с перезагрузкой и ничего не меняется.
      Заранее большое спасибо!
    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
×
×
  • Создать...