[РЕШЕНО] Сбой при работе KRD

[Danchik]

Здравствуйте. На компьютере появился троян. Сначала сразу решил попробовать через KVRT. Но тут возникла проблема: при запуске сообщение: "Операция отменена из-за ограничений, действующих на этом компьютере." Дальше решил загрузить на флешку программу Kaspersky rescue disk по советам в сети. Программу записал, с флешки запустился. Далее после выбора режима опять проблема: возник черный экран и - больше ничего. Прошу совет. Что сделать в этой ситуации?

[Sandor]

Автологер запускается?

[Danchik]

Только что, Sandor сказал:

Автологер запускается?

Нет, вообще ничего. Просто черный экран.

 

[Sandor]

Уточните: про черный экран вы писали при запуске KRD. А я спрашиваю про Автологер по правилам раздела. 

[Danchik]

Автологер запускается, но на этапе открытия браузеров закрывается, я даже не успеваю понять, что происходит. Соответственно, архива с логами тоже нет.

 

В дополнение: нашел в сети, как можно запустить установку KVRT. Теперь она запускается и сразу вылетает.

Изменено 12 июля, 2022 пользователем Danchik
Дополнение

[Sandor]

Скачайте AV block remover.
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV_br.exe
Как вариант, можно воспользоваться версией со случайным именем.
В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите CollectionLog Автологером.
 

[Danchik]

Этот же вирус не пускает на форум через ПК. Есть возможность зайти на форум, потому как через мобильное устройство неудобно скачивать программы?

 

После AVbr форум заработал, да и установка KVRT тоже перестала вылетать. Пока утилиты, помимо указанных, не трогаю. Что-то нужно ещё сделать? 
Отправляю логи:

CollectionLog-2022.07.12-15.11.zipAV_block_remove_2022.07.12-15.03.log
 

[Sandor]

Хорошо, продолжаем:

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
 QuarantineFile('C:\Programdata\RealtekHD\taskhostw.exe', '');
 QuarantineFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '');
 QuarantineFileF('c:\programdata\realtekhd', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekOnLogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostMO');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\TaskhostOnlogon');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winser');
 DeleteSchedulerTask('Microsoft\Windows\Wininet\winsers');
 DeleteSchedulerTask('Temp');
 DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
 DeleteFile('C:\Programdata\RealtekHD\taskhostw.exe', '64');
 DeleteFile('C:\ProgramData\Windows Tasks Service\winserv.exe', '64');
 DeleteFileMask('c:\programdata\realtekhd', '*', true);
 DeleteDirectory('c:\programdata\realtekhd');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteRepair(9);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

 

Далее:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Изменено 12 июля, 2022 пользователем Sandor

[Danchik]

Выполнил. Отчёты отправляю.

FRST.txtAddition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-20\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  HKU\S-1-5-18\...\RunOnce: [lang] => reg add "HKCU\Control Panel\International\User Profile" /v "Languages" /t REG_MULTI_SZ /d "ru\0en-US" /f (Нет файла) <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1791479987-4018198629-676133719-1002\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  2022-07-12 15:48 - 2022-07-12 15:48 - 000000000 ____D C:\KRD2018_Data
  Unlock: C:\FRST
  Unlock: C:\ProgramData\Windows Tasks Service
  2022-07-11 21:32 - 2022-07-12 15:26 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
  2022-07-11 21:32 - 2022-07-12 15:19 - 000000000 ____D C:\KVRT2020_Data
  2022-07-11 21:32 - 2022-07-12 15:04 - 000000000 ____D C:\Program Files\RDP Wrapper
  2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\Program Files (x86)\IObit
  2022-07-11 21:32 - 2022-07-12 11:45 - 000000000 ____D C:\AdwCleaner
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\WavePad
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\RobotDemo
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\PuzzleMedia
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\FingerPrint
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\ProgramData\Evernote
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Ravantivirus
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Rainmeter
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Process Lasso
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Loaris Trojan Remover
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\DrWeb
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\Doctor Web
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Common Files\AV
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 __SHD C:\Program Files\Bitdefender Agent
  2022-07-11 21:32 - 2022-07-11 21:32 - 000000000 ____D C:\Users\Даня\AppData\Roaming\RMS_settings
  2022-07-11 21:31 - 2022-07-11 21:31 - 000000000 ___HD C:\Users\John
  HKU\S-1-5-21-1791479987-4018198629-676133719-1002\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
  FirewallRules: [{BCF0EC78-DF4A-431F-8FC7-19A753E21579}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{226087D9-83B1-4E4C-926A-8815C5387112}] => (Allow) C:\Users\Даня\MediaGet2\mediaget.exe => Нет файла
  FirewallRules: [{FCBCC7C2-77CE-4377-B041-EECEA33A8FB6}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{C82B177F-1929-452B-B974-67918CF52B57}] => (Allow) C:\Users\Даня\MediaGet2\QtWebEngineProcess.exe => Нет файла
  FirewallRules: [{7517CB7B-705F-4341-AE2D-096918DF7372}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла
  FirewallRules: [{CCFAFD3E-8110-45BD-BDF2-977793C7A5CD}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла
  FirewallRules: [{C581079E-A704-4C5E-BDCA-E4AD63EC18A1}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Danchik]

Готово. Отправляю:

Fixlog.txt

[Sandor]

Хорошо. Что сейчас с проблемой?

Кстати, вы не описали как проявлялось и по какой причине стали пытаться лечить.

[Danchik]

Начну с того, что на компьютере вообще отсутствуют антивирусы ввиду того, что я придерживаюсь мнения: "Если кому-то нужно заразить устройство, он и с антивирусом это сделает".

В общем, вчера качал я игры с сайта burytor.
В одном из торрентов скачался файл "игры". При установке он назывался так же.
Я, не придав этому никакого значения, после установки, увидев всё-таки файл "Игры", решил удалить его.
После этого ноутбук начал зверски греться. По началу я подумал, что это из-за поверхности, на которой он был установлен 🤣.

Сегодня с утра, решил провести проверку на вирусы и полез на сайты для скачивания. Ни один сайт с антивирусами просто не открывался.

В конечном итоге, удалось скачать KVRT, KRD, HitmanPro, DrWeb LiveDisk. KVRT и Hitman не запускались.  
Записал на флешку KRD, а дальше Вы знаете. С LiveDisk та же лажа.
Больше придумать ничего не смог, стал звонить в поддержку DrWeb, где был отправлен разбираться сам ввиду отсутствия платной подписки.
Позвонил в поддержку Kaspersky, меня отправили на форум Community.Kaspersky. 
Введя в поиске, наткнулся на форум, на котором Вы помогли мне решить вопрос.

До сегодняшнего дня с форумом этим не сталкивался, все вирусы всегда лечились Хитманом.

Впервые узнал о том, что программа для записи логов может еще и подлечить мой компьютер

 

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу. Отпишусь после этого.

 

---------------------------
 

Спасибо Вам ОГРОМНОЕ. Без Вас у меня бы ничего не получилось.
 

 

Насчёт проблемы: не решилась.

До сих пор при запуске KRD просто горит черный экран и ноутбук не отвечает.

Изменено 12 июля, 2022 пользователем Danchik

[Sandor]

6 минут назад, Danchik сказал:

Сейчас попробую запустить KRD, хоть смысла в этом уже не вижу

Верно, уже нет смысла.

 

А смысл есть проделать завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Danchik]

Всё сделал, отправляю лог-файл:
SecurityCheck.txt