Перейти к содержанию
Правила раздела

Не устанавливается KES

VVD14

От VVD14
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\winexesvc.exe', '');
 DeleteFile('C:\Windows\winexesvc.exe', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

1 час назад, VVD14 сказал:

Не устанавливается KES

Устанавливаете локально или через KSC? Есть какая-то ошибка?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Пробуйте сейчас установить.

Если опять не получится, дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-222305084-3533724037-2081373267-1127\...\MountPoints2: {9ae3b335-6c7a-11ed-834a-d850e63ea337} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-222305084-3533724037-2081373267-1127\...\MountPoints2: {ac0c730c-62ed-11ec-8334-d850e63ea337} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-222305084-3533724037-2081373267-1127\...\MountPoints2: {b488c2b8-c1fe-11e8-82d0-d850e63ea337} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-222305084-3533724037-2081373267-1127\...\MountPoints2: {cd67cc89-2f45-11e9-82dd-d850e63ea337} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-222305084-3533724037-2081373267-1127\...\MountPoints2: {e0c11fee-a6c6-11e9-82ec-d850e63ea337} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-222305084-3533724037-2081373267-1127\...\MountPoints2: {e8e20f14-0c7d-11ed-833c-d850e63ea337} - "F:\HiSuiteDownLoader.exe" 
GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\DevyataykinPA\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\KichiginNA\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\KudryavcevVA\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\KuzyakinaOS\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\MorozKV_adm\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\PrytovaNS\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\TihonovEA\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {F4562C27-2774-4034-9F1B-F44B7AF0A0C2} - \Обновление Браузера Яндекс  -> Нет файла <==== ВНИМАНИЕ
HKU\S-1-5-21-222305084-3533724037-2081373267-1127\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
FirewallRules: [{A74B8277-3D8E-4877-B67F-E5B14E41155F}] => (Allow) LPort=9422
FirewallRules: [{48E199D9-2EEC-4097-A763-FDA82F830361}] => (Allow) LPort=9245
FirewallRules: [{FE70C7B9-4B39-4CCD-A837-7A67B0CC6BEB}] => (Allow) LPort=9246
FirewallRules: [{27CFC92A-E2D0-4388-AFC0-501163C6F3C2}] => (Allow) LPort=9247
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Видны следы бывшей установки (или неудачной установки).

Воспользуйтесь этим инструментом очистки.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Хорошо. Фиксом мы почистили некоторый мусор, в т.ч.

Цитата

EmptyTemp: => 58.5 GB временные данные Удалены

Основная причина, полагаю, была в оставшихся драйверах предыдущей установки.

 

 

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Foxit Reader v.10.0.0.35798 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft Office стандартный 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Standard 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 22.01 (x64 edition) v.22.01.00.0
Far Manager 3 x64 v.3.0.4040 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Server 3.5.2 v.3.52.1.0000 Внимание! Программа удаленного доступа!
Radmin Server 3.4 v.3.40.0000 Внимание! Программа удаленного доступа!
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Reader XI (11.0.23) - Russian v.11.0.23 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Acrobat Reader DC.
 

 

По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • boris_b
      Шифровальщик l27lb26@BLOCKED
      От boris_b
      Добрый день.
      Есть ли дешифратор на подобный тип шифровальщика?
      Подхватил пока был включен RDP
       
       
      files.zip Addition.txt FRST.txt
    • larm
      Trojan-Ransom.Win32.Blocker.kfgf
      От larm
      Добрый день.
       
      К сожалению, без настроенной категории «Защищаемые типы файлов» KES10sp1mr3 не спас. Пользователь запустил вчера файл Copy 10082017.scr, пришедший по почте, пока еще базами не детектился вирус.
      И с утра получил зашифрованные файлы.
       
      Каспер поймал вчера сразу:
      троянская программа Trojan.BAT.Delsha.d     C:\Users\<user>\AppData\Local\Temp\__t3657.tmp.bat
      троянская программа Trojan.BAT.Delsha.d     C:\Users\<user>\AppData\Local\Temp\__t30D4.tmp.bat
       
      Сегодня с лечением активного заражения:
      Trojan-Ransom.Win32.Blocker.kfgf       C:\Users\<user>\AppData\Local\Temp\Rar$DIa0.476\Copy 10082017.scr
      троянская программа Trojan.BAT.Delsha.d     C:\Users\<user>\AppData\Local\Temp\__t7508.tmp.bat
      троянская программа Trojan.BAT.Delsha.d     C:\Users\\<user>\AppData\Local\Temp\__t5CA2.tmp.bat
       
      Но шифрования не избежали, все происходило под бдительным контролем активности программ))
      Программа\Название:     Shelveset Untyped
      Программа\Путь:     c:\users\public\
      Программа\ID процесса:     2080
      Результат\Описание:     Разрешено
      Результат\Тип:     Доступ к файлам
      Результат\Название:     My documents2
      Результат\Степень угрозы:     Низкая
      Результат\Точность:     Точно
      Действие:     Удаление
      Объект:     C:\USERS\<user>\DOCUMENTS\KASP10_BEST_PRACTICESRU.PDF
       
       
      Тип события:     Сработало правило Контроля активности программ
      Программа\Название:     Shelveset Untyped
      Программа\Путь:     c:\users\public\
      Программа\ID процесса:     2080
      Результат\Описание:     Разрешено
      Результат\Тип:     Доступ к файлам
      Результат\Название:     My documents2
      Результат\Степень угрозы:     Низкая
      Результат\Точность:     Точно
      Действие:     Создание
      Объект:     C:\USERS\<user>\DOCUMENTS\KASP10_BEST_PRACTICESRU.PDF.CRYPT
       
      Если будет необходимость, то Copy 10082017.scr  скорее всего остался в резервном хранилище.
      Расширения файлов .crypt. Имеется html страничка how_to_back_files.html В нем Your personal ID.
       
      Имеется оригинальный до шифрования файлик и соответствующий ему после работы шифровальщика.
      В планах обращение в CompanyAccount Касперского. Правда, скорее для порядка, чем для результата.
       
      Просканировано  KES со свежими базами и Dr.Web CureIt.
       
      Прикладываю  Логи AutoLogger.exe и how_to_back_files.html
      logs.zip
    • chillik
      Вирус зашифровал все файлы в расширение *.blocked
      От chillik
      Добрый день! Вирус зашифровал все файлы в расширение *.blocked, а так же в каждой папке содал файлы keyvalue.bin и !!!!!!!!Как восстановить файлы!!!!!!!.txt
      Помогите пожалуйста расшифровать файлы.
×
×
  • Создать...