Перейти к содержанию
Правила раздела

[РЕШЕНО] Очень быстро закрывается установщик антивируса Касперского

Bozmanok

Автор Bozmanok
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Bozmanok

Bozmanok

Опубликовано
Опубликовано

На ноутбуке стоит Windows 11. С недавних пор ноут резко стал активно шуметь и греться, иногда даже выключаться. Возникло подозрение на вирус-майнер. Решил установить антивирус Касперского.

Скачал установщик, пробую запускать, а он тут же закрывается. Пробовал с другими установщиками то же самое - результат идентичный. 

Стал гуглить решения, и он не давал открывать страницы support Касперского.

Сейчас вот с телефона открыл этот сайт и пишу.

Прошу помочь с установкой антивируса

Ссылка на комментарий
Поделиться на другие сайты
mike 1

mike 1

Опубликовано
Опубликовано

Здравствуйте, скачайте https://www.safezone.cc/resources/av-block-remover-avbr.224/, сохраните утилиту в директорию C:\12345, запустите от имени Администратора, следуйте рекомендациям утилиты, прикрепите лог утилиты.  

 

Далее сделайте логи по правилам раздела https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты
Bozmanok

Bozmanok

Опубликовано
  • Автор
Опубликовано

Спасибо большое за реакцию!

Но как-то получилось быстро успеть прокликать кнопки установки, и антивирус установился. 

Были обнаружены трояны-майнеры, удалил их. Стало теперь отлично)

Извините, что побеспокоил. И спасибо вам)

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

После майнера зачастую в системе могут остаться его следы. Поэтому рекомендуется выполнить написанное в сообщении выше.

Ссылка на комментарий
Поделиться на другие сайты
Bozmanok

Bozmanok

Опубликовано
  • Автор
Опубликовано

Попробовал запустить от имени администратора, и появилось окно с текстом "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору".

Как понимаю, вирус перенял на себя права админа? Как запустить avbr?

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Bozmanok

Bozmanok

Опубликовано
  • Автор
Опубликовано

Попробовал, по-прежнему не могу запустить. Появляется то самое окно с ошибкой про администратора. 

 

Переименовал скачанный файл в 12345, и запустил от имени администратора. В итоге получилось просканировать и собрать логи.
Прилинковал к сообщению в виде архива

FRST.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано
1 час назад, Bozmanok сказал:

Переименовал скачанный файл в 12345, и запустил от имени администратора

А теперь внимательно смотрим, куда Вы распаковали AVBR

Цитата

2023-10-25 22:19 - 2023-10-25 22:19 - 000000000 ____D C:\Users\Андрей\Downloads\AVbr

и внимательно читаем то, что я писал выше

17 часов назад, thyrex сказал:

Распаковать не на Рабочий стол и не в папку Загрузки, либо просто перенести в любую другую папку


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [27] rkill.exe
2023-10-17 00:39 - 2023-10-17 00:39 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Downloads\AV_block_remover
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Downloads\AutoLogger
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Desktop\AV_block_remover
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Desktop\AutoLogger
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\AppData\Roaming\Sysfiles
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\ProgramData\princeton-produce
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые и прикрепите в архиве к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Bozmanok

Bozmanok

Опубликовано
  • Автор
Опубликовано
Цитата

А теперь внимательно смотрим, куда Вы распаковали AVBR

Я и в загрузках распаковал, и в самом диске С (создав в ней папку), как вы писали раньше. Вы не переживайте, я правда всё по инструкции делал.

Проделал все шаги из последней инструкции, набор логов приложил в виде архива

Логи.zip

 

Простите, с AV block remover только неверно выполнил действие - распаковал на Рабочем столе) Теперь распаковал снова в диске С, в папке 12345. Повторил действия и получил лог. Приложил его в этом сообщении

AV_block_remove_2023.10.28-00.47.log

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

После выполнения предыдущей рекомендации распаковывать можно было уже в любое место :) Даже на Рабочий стол и в Загрузки. Хотя при первом удачном запуске AVBR Вы так и не дождались окончания его работы видимо.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{901B2B1F-D1CE-4DE3-A68B-D3BC87158A95}D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe] => (Allow) D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe => Нет файла
FirewallRules: [UDP Query User{43713BDD-2BE8-4738-99B0-C629F260EF84}D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe] => (Allow) D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe => Нет файла
FirewallRules: [TCP Query User{DB936D54-BDE3-4866-B9EF-8F4A66370261}D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [UDP Query User{C9FEA6D8-7B69-453B-A028-5688EF87F978}D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [TCP Query User{D6B868A7-7673-4295-AC0E-8888A1F74707}D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [UDP Query User{71010A63-4624-4BB1-9BBC-99E8F1E72774}D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [{E82DC07B-E174-41D1-8412-458CCA41AFF1}] => (Allow) C:\Users\Андрей\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{D428C63E-FA16-45E2-BE54-9A031A5F3EE9}] => (Allow) C:\Users\Андрей\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{1ACF3587-869F-41EB-A6EA-AC5857399625}] => (Allow) D:\Games\Dont Starve Together v568393\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{D879C86C-8A30-4108-90C5-925B651E52DE}] => (Allow) D:\Games\Dont Starve Together v568393\bin64\dontstarve_steam_x64.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

 

 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Shooky27
      [РЕШЕНО] CHROMIUM.PAGE.MALWARE.URL? Хром закрывается сам по себе
      Автор Shooky27
      Заметил что при запуске Google Chrome он грузится ~ 10-15 секунд и закрывается, после повторного запуска браузер открывается без расширений (с предустановленным расширением PDF Viewer?) и из-за синхронизации расширения устанавливаются обратно.
      При сканировании антивирусом PRO32 ничего не выскакивает, сканировал все диски в том числе все папки на рабочем столе и ничего не нашло, Dr.Web Cureit находит упомянутый в заголовке CHROMIUM.PAGE.MALWARE.URL, но при попытке вылечить выскакивает "Ошибка при лечении".
      Пробовал исправить данную проблему с помощью AvBr, ADWcleaner, FRST. Пробовал даже скопировать скрипты с различных тем с такой же проблемой, но ничего не помогло. Также пробовал отключать синхронизацию, поскольку некоторые пользователи сталкивавшиеся с такой же проблемой ссылались на проблему синхронизации, но это тоже не помогло. 
      Логи прикрепляю.
      CollectionLog-2025.06.28-22.48.zip
    • KL FC Bot
      LunaSpy скрывается как антивирус-шпион на Android | Блог Касперского
      Автор KL FC Bot
      В погоне за безопасностью многие готовы установить любое приложение, которое пообещает надежную защиту от вредоносов и мошенников. Именно этим страхом умело пользуются создатели нового мобильного шпиона LunaSpy, распространяющегося через мессенджеры под видом антивируса. После установки фейковый антивирус имитирует работу настоящего — сканирует устройство и даже выдает пугающее число найденных угроз. На самом деле, никаких угроз он не обнаруживает, а просто шпионит за владельцем зараженного смартфона.
      Как действует новый зловред и как от него защититься — читайте в нашем материале.
      Как шпион попадает в телефон
      Мы обнаружили новую вредоносную кампанию, направленную на пользователей Android в России. Она активна как минимум с конца февраля 2025 года. Шпион попадает на смартфоны через мессенджеры под видом не только антивируса, но и банковских защитников. Выглядеть это может, например, так:
      «Привет, установи вот эту программу». Потенциальной жертве может прийти сообщение с предложением установить ПО как от незнакомца, так и от взломанного аккаунта человека из контактов — так, например, угоняют аккаунты в Telegram. «Скачайте приложение в нашем канале». В Telegram ежесекундно появляются новые открытые каналы, поэтому вполне можно допустить, что некоторые из них могут распространять вредоносное ПО под видом легитимного. После установки фейковое защитное приложение показывает вымышленное число обнаруженных угроз на устройстве для того, чтобы вынудить пользователя предоставить все возможные разрешения якобы для спасения смартфона. Так жертва собственноручно открывает приложению доступ ко всем личным данным, даже не догадываясь о настоящих мотивах лжезащитника.
       
      View the full article
    • sencity72
      [РЕШЕНО] Вирус подменяет диспетчер задач - антивирусы не помогают.
      Автор sencity72
      Вирус подменяет диспетчер задач - при открытии видно нагрузка ЦП, спустя секунду диспетчер задач превращется в статичную картинку с меньшими показателями нагрузки - антивирусы не помогают.
      CollectionLog-2025.06.16-08.28.zip
    • Solnepek7
      [РЕШЕНО] Касперский не видит майнер
      Автор Solnepek7
      Помогите пожалуйста, никак не могу найти майнер на ноутбуке. Почему думаю что майнер, потому что при включении диспетчера задач или process exp, ноут сразу затихает и вентиляторы не крутятся, как только диспетчер закрою, сразу большая активность. Сижу битый час общаюсь с DeepSeek, он там что то рекомендует, но не видит(я скрины ему кидал). Скачал SystemInformer (process hacker тот же), тут уже интереснее, при закрытии диспетчера cmd.exe грузит CPU до 33% и жрет 2.4гб памяти, но в дереве процессов не могу найти этот искомый файл что так грузит и запускается через команду. При открытии диспетчера process hacker сразу показывает что cpu в норме, 99% простаивает и файл закрывается. То есть при открытии диспетчера майнер закрывается, с помощью  process hacker не получается найти, банально не понимаю куда тыкать, да же с помощью нейрухи, deepseek иногда говорит несуществующие вкладки. Пришёл к реальным людям)
      Логи прикрепил, в безопасном режиме включал, всё тихо, шума нет, 99% простой системы. 3 раза сделал полную проверку касперским, не видит
      CollectionLog-2025.06.11-19.09.zip

    • Максим Субботин
      Распространение Антивируса Касперского компанией Ростелеком
      Автор Максим Субботин
      Позвонила девушка из маркетинга компании Ростелеком, предложила прислать смс на подключение ознакомительной версии Антивируса Касперский. Я вежливо отказался. Следом пришла смс с предложением зайти на сайт, согласиться с условиями подключения сервиса и получить ключ на подключение антивируса. Я не стал заходить на сайт, соглашаться с получением сервиса и получать ключ на подключение антивируса. Через некоторое время услуга Антивирус Касперского появился в списке услуг в личном кабинете, и пришел счет на его оплату. Удалить услугу из личного кабинета удалось только по звонку в службу продержки Ростелеком. Похоже, что таких как я очень много, так как в голосовом помощнике Ростелеком (8-800-707-12-12) даже предусмотрена отдельная цифра для отключения Антивируса Касперского ("для отключения АК нажмите цифру 5").
      Интересно, в компании Касперский знают, каким способом распространяется их продукт (сам по себе достаточно неплохой), и какой репутационный ущерб наносят сотрудники компании Ростелеком таким распространением компании Лаборатория Касперского.
       
       
×
×
  • Создать...