[РЕШЕНО] Помощь в установке KIS. Проблема: Неизвестная ошибка установки после удаления трояна в CureIT

[Egor_1608_ 1]

Доброго времени суток! Возникла проблема в установке KIS 21 с оф сайта.

Предыстория: Пару дней назад ранее установленный и работоспособный KIS 21 пожаловался, что "не все компоненты защиты исправны/ или работоспособны" не помню, совет там же "переустановите программу" и ссылки на оф сайт с дистрибутивами.

Шаги:

1) Удаление КИС с сохранением настроек и данных ключа, перезагрузка.

2) Попытка установить КИС  через установщик провалилась, попросту ничего не происходило.

3) Скачал с оф сайта CUREiT и запустив с рабочего стола проверил им, обнаружил 11 вредоносных программ, в том числе трояны. Действие - удаление.

4) Перезапуск - установщик запускается, но выдает ошибку.

5) Проверка утилитой Avbr находит майнер в файле хост, иправляет его но ПК не перезагружается.

6) Здесь на форуме ознакомился с похожими проблемами, и поэтому прикрепляю скрин ошибки, лог из Автологгера.

Прошу помощи!

CollectionLog-2023.03.23-14.01.zip

[Sandor 1 286]

Здравствуйте!

 

"Пофиксите" в HijackThis (только эти строки):

O22 - Tasks: Driver Booster SkipUAC (User) - D:\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Tasks_Migrated: Driver Booster Scheduler - D:\IObit\Driver Booster\Scheduler.exe /scheduler (file missing)
O22 - Tasks_Migrated: Driver Booster SkipUAC (User) - D:\IObit\Driver Booster\DriverBooster.exe /skipuac (file missing)
O22 - Tasks_Migrated: Driver Booster Update - D:\IObit\Driver Booster\AutoUpdate.exe /auto (file missing)

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Egor_1608_ 1]

Здравствуйте! Спасибо за быстрый ответ! 

1) ""Пофиксите" в HijackThis (только эти строки):"" - удалил DB, в CCleaner подчистил реестр, перезагрузил.

2) Вошел в л/к Касперского и через "добавить устройство" скачал дистрибутив "startup.exe" который без ошибок открылся и докачал нужные файлы, итог - программа работает.

3 ) Вышел из программы и выполнил Вашу рекомендацию.

Addition.txt Shortcut.txt FRST.txt

Изменено 23 марта, 2023 пользователем Egor_1608_

[Sandor 1 286]

5 минут назад, Egor_1608_ сказал:

в CCleaner подчистил реестр

Это было лишнее. Мы больше не рекомендуем его к использованию, особенно в плане чистки реестра. Также, как и другие подобные программы.

 

Хорошо, что установился антивирус успешно.

Небольшая дополнительно чистка мусора:

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;backup;recovery;maps;holographic-audio
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {2932429C-F258-4D0D-A226-013F3D2F49DD} - System32\Tasks\Driver Booster SkipUAC (User) => D:\IObit\Driver Booster\DriverBooster.exe /skipuac (Нет файла)
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  2023-03-23 13:40 - 2022-03-24 16:16 - 000000000 ____D C:\Users\User\AppData\Roaming\IObit
  2023-03-23 13:40 - 2022-03-24 16:16 - 000000000 ____D C:\ProgramData\IObit
  2022-11-02 21:47 - 2022-11-02 21:47 - 000000000 ____R C:\WINDOWS\SysWOW64\version_IObitDel.dll
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Egor_1608_ 1]

СCleaner удалил, фикслог прикладываю.

Fixlog.txt

[Sandor 1 286]

Хорошо. Как вижу, вы уже скачивали SecurityCheck. Покажите его отчёт, пожалуйста.

[Egor_1608_ 1]

Да, пожалуйста.

Остался вопрос, есть необходимость в использовании  торрента, uTorrent скорее всего и занес вирус при обновлении/ переустановке программы, есть ли проверенные сайты для скачивания установщика? Или может пробовать другую программу?

SecurityCheck.txt

Изменено 23 марта, 2023 пользователем Egor_1608_

[Sandor 1 286]

3 минуты назад, Egor_1608_ сказал:

есть ли проверенные сайты для скачивания установщика?

Для установщика чего?

 

Виновата скорее всего не сама программа uTorrent, а установка некоего репака или активатора, скачанного с торрента. "Популярный" сейчас майнер именно так попадает в систему.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

Читайте Рекомендации после удаления вредоносного ПО

[Egor_1608_ 1]

Спасибо, вопросов больше не имею! Выручили 🤝

[Sandor 1 286]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".