Перейти к содержанию

Не запускается служба KAV 6.0 (Ошибка 1053)

pni_kotovo

Автор pni_kotovo
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

pni_kotovo

pni_kotovo

Опубликовано
Опубликовано

Здравствуйте!

 

В нашей организации раньше стоял NOD32, перешли на Kaspersky BusinessSpace Security. На большинстве ПК после установки не запускается KAV 6.0 (при запуске службы - ошибка 1053). Иногда не устанавливается KAV из-за неполного удаления NOD32, но эту проблему я решил.

 

Прилагаю логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Mark D. Pearlstone

Mark D. Pearlstone

Опубликовано
Опубликовано

Напишите полную версию сборки антивируса, которую устанавливаете.

mvs

mvs

Опубликовано
Опубликовано (изменено)

у вас там и от Drweb-а остатки

C:\Program Files\Common Files\Doctor Web\Scanning Engine\vrcpp.dll

c:\program files\common files\doctor web\scanning engine\dwengine.exe

C:\Program Files\DrWeb\drwsxtn.dll и т.д.

 

 

вы бы сначала удалили остатки все от прошлых антивирусов, а потом ставили уже бы wks 6.0.4.1424

Изменено пользователем mvs
Omnividente

Omnividente

Опубликовано
Опубликовано

1. У вас в активных процессах drweb

2. У вас заражение. wellcome в раздел "Уничожение вирусов")

Roman_Five

Roman_Five

Опубликовано
Опубликовано (изменено)

pni_kotovo

 

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
SetServiceStart('Ms-tl_Srv', 4);
StopService('Ms-tl_Srv');
QuarantineFile('C:\Documents and Settings\Админ\ctfmon.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\v61jOTS.exe','');
QuarantineFile('\\?\globalroot\systemroot\system32\jY73qi0.exe','');
QuarantineFile('C:\WINDOWS\system32\v61jOTS.exe','');
QuarantineFile('C:\WINDOWS\system32\jY73qi0.exe','');
QuarantineFile('C:\Program Files\SberSign\testhash.bat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\bkload.sys','');
QuarantineFile('C:\WINDOWS\tinlater.exe','');
QuarantineFile('C:\WINDOWS\Temp\sfareca00001.dll','');
QuarantineFile('C:\WINDOWS\Temp\sfamcc00001.dll','');
DeleteFile('C:\Documents and Settings\Админ\ctfmon.exe');
DeleteFile('C:\WINDOWS\tinlater.exe');
DeleteFile('\\?\globalroot\systemroot\system32\jY73qi0.exe');
DeleteFile('\\?\globalroot\systemroot\system32\v61jOTS.exe');
DeleteFile('C:\WINDOWS\system32\jY73qi0.exe');
DeleteFile('C:\WINDOWS\system32\v61jOTS.exe');
DeleteService('Ms-tl_Srv');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\System32\userinit.exe,');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(20);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,\\?\globalroot\systemroot\system32\v61jOTS.exe,\\?\globalroot\systemroot\system32\jY73qi0.exe,
O23 - Service: ms-tl (Ms-tl_Srv) - Unknown owner - C:\WINDOWS\tinlater.exe (file missing)

 

Прокси proxy.avtlg.ru и прокси из файла D:/proxy.pac Вам знакомы? если нет, пофиксите также и эти строки:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://D:/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.avtlg.ru:3128

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- DrWeb.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Сделайте новые логи по правилам.

Изменено пользователем Roman_Five
Kapral

Kapral

Опубликовано
Опубликовано

1. Какая полная версия КАВ6?

2. какой мощности компы?

3. АдминКит используете?

4. Сколько компов?

pni_kotovo

pni_kotovo

Опубликовано
  • Автор
Опубликовано

Roman_Five

 

Спасибо, скрипт помог. На других компьютерах KAV тоже установился.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Dicto
      Ошибка подключения к серверу администрирования KSC 13.2 (Служба kladminserver не запускается)
      Автор Dicto
      Доброго времени суток.
      Возникла такая проблема, не возможно подключиться к консоли управления сервером(web нет). Проверил службы, служба (kladminserver) Сервер администрирования Kaspersky Security Center не запускается, если и запускается то не больше минуты, Все равно консоль не доступна. Пробовал использовать другую учетку через замену УЗ, не помогло. Логи говорят про удаление и перестановку сервера(на этом и других форумах говорят это не помогло) Ошибки начали появляться в логах KEL 07.04.23. Пользовательский KES пишет что сервер не доступен с 31.03.23. В логах на эту тему есть 3 записи от 05.04.23 такого характера : Database error occurred: #1950 (-2147467259) Generic db error: " 'Истекло время ожидания входа{HYT00};' LastStatement='ADODB.Connection'" после 07.04.23 пошли такие записи Database error occurred: #1950 (-2147467259) Generic db error: " 'Истекло время ожидания входа{HYT00};' LastStatement='ADODB.Connection'".
      Все это дело крутится на Win Server 2008 R2. Я в первые столкнулся с данной проблемой, и опыта в работе еще очень мало. Много уже облазил форумов и статей, но пока ни к чему не пришел. Может попробовать с бэкапа восстановиться до начала проблем? Хз в общем.
       

    • Rufless
      KSC14.2 ошибка службы kladminserver #1192
      Автор Rufless
      Добрый день.
       
      Ситуация следующая: произошел сбой виртуальной машины, на которой расположен KSC, в результате сейчас возникает ошибка "Служба 'kladminserver' остановлена из-за ошибки. #1192 Данные Сервера администрирования не согласованы. Вы должны удалить Сервер администрирования, установить его снова и выполнить процесс восстановления с помощью утилиты klbackup." База данных расположена на отдельном сервере MS SQL 2019, функционирует в штатном режиме. Есть бэкапы полностью ВМ, бэкапы БД, но нет бэкапов созданных средствами каспера.
       
      Нигде не нашел ответа на вопрос: есть ли способ восстановить работу KSC, если нет бэкапов, созданных штатными средствами каспера, но есть живая база данных? 
       
    • SK_
      Ошибка запуска службы kladminserver, после обновления на 15.1
      Автор SK_
      Служба "kladminserver" остановлена из-за ошибки. #1950 (208) Generic db error: "208 'Invalid object name 'sys.database_scoped_configurations'.{42S02};' LastStatement='EXEC upgd_set_maxdop'"  
      cервер на win 8.1
      SQL Express - 10.50.4042.0
    • mallorik9
      здраствуйте не могу убрать ошибку в событиях Произошла ошибка DCOM "1068 и Служба "Системное приложение COM+" является зависимой от службы
      Автор mallorik9
      Здраствуйте не могу убрать ошибку в событиях заметил сегодня ПК начал тормозить долго грузится когда включаю в Просмотре событий ошибки 2 есть это так должно бить я не пойму помогите пожалуйста уже более 17к событий как это по исправлять 


    • SonG
      Вирус переименовывает службы
      Автор SonG
      Добрый день!  На Server 2022 (Standart) появились вирусы.
      1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал
      2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.
       
      Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия:
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e  
      Что делать, куда "копать" ?) 
      Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)
      CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt
×
×
  • Создать...