Перейти к содержанию

[РЕШЕНО] Очень быстро закрывается установщик антивируса Касперского


Рекомендуемые сообщения

На ноутбуке стоит Windows 11. С недавних пор ноут резко стал активно шуметь и греться, иногда даже выключаться. Возникло подозрение на вирус-майнер. Решил установить антивирус Касперского.

Скачал установщик, пробую запускать, а он тут же закрывается. Пробовал с другими установщиками то же самое - результат идентичный. 

Стал гуглить решения, и он не давал открывать страницы support Касперского.

Сейчас вот с телефона открыл этот сайт и пишу.

Прошу помочь с установкой антивируса

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте, скачайте https://www.safezone.cc/resources/av-block-remover-avbr.224/, сохраните утилиту в директорию C:\12345, запустите от имени Администратора, следуйте рекомендациям утилиты, прикрепите лог утилиты.  

 

Далее сделайте логи по правилам раздела https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Ссылка на комментарий
Поделиться на другие сайты

Спасибо большое за реакцию!

Но как-то получилось быстро успеть прокликать кнопки установки, и антивирус установился. 

Были обнаружены трояны-майнеры, удалил их. Стало теперь отлично)

Извините, что побеспокоил. И спасибо вам)

Ссылка на комментарий
Поделиться на другие сайты

После майнера зачастую в системе могут остаться его следы. Поэтому рекомендуется выполнить написанное в сообщении выше.

Ссылка на комментарий
Поделиться на другие сайты

Попробовал запустить от имени администратора, и появилось окно с текстом "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору".

Как понимаю, вирус перенял на себя права админа? Как запустить avbr?

Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

Попробовал, по-прежнему не могу запустить. Появляется то самое окно с ошибкой про администратора. 

 

Переименовал скачанный файл в 12345, и запустил от имени администратора. В итоге получилось просканировать и собрать логи.
Прилинковал к сообщению в виде архива

FRST.zip

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Bozmanok сказал:

Переименовал скачанный файл в 12345, и запустил от имени администратора

А теперь внимательно смотрим, куда Вы распаковали AVBR

Цитата

2023-10-25 22:19 - 2023-10-25 22:19 - 000000000 ____D C:\Users\Андрей\Downloads\AVbr

и внимательно читаем то, что я писал выше

17 часов назад, thyrex сказал:

Распаковать не на Рабочий стол и не в папку Загрузки, либо просто перенести в любую другую папку


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [27] rkill.exe
2023-10-17 00:39 - 2023-10-17 00:39 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Downloads\AV_block_remover
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Downloads\AutoLogger
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Desktop\AV_block_remover
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Desktop\AutoLogger
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\AppData\Roaming\Sysfiles
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\ProgramData\princeton-produce
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые и прикрепите в архиве к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Цитата

А теперь внимательно смотрим, куда Вы распаковали AVBR

Я и в загрузках распаковал, и в самом диске С (создав в ней папку), как вы писали раньше. Вы не переживайте, я правда всё по инструкции делал.

Проделал все шаги из последней инструкции, набор логов приложил в виде архива

Логи.zip

 

Простите, с AV block remover только неверно выполнил действие - распаковал на Рабочем столе) Теперь распаковал снова в диске С, в папке 12345. Повторил действия и получил лог. Приложил его в этом сообщении

AV_block_remove_2023.10.28-00.47.log

Ссылка на комментарий
Поделиться на другие сайты

После выполнения предыдущей рекомендации распаковывать можно было уже в любое место :) Даже на Рабочий стол и в Загрузки. Хотя при первом удачном запуске AVBR Вы так и не дождались окончания его работы видимо.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{901B2B1F-D1CE-4DE3-A68B-D3BC87158A95}D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe] => (Allow) D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe => Нет файла
FirewallRules: [UDP Query User{43713BDD-2BE8-4738-99B0-C629F260EF84}D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe] => (Allow) D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe => Нет файла
FirewallRules: [TCP Query User{DB936D54-BDE3-4866-B9EF-8F4A66370261}D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [UDP Query User{C9FEA6D8-7B69-453B-A028-5688EF87F978}D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [TCP Query User{D6B868A7-7673-4295-AC0E-8888A1F74707}D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [UDP Query User{71010A63-4624-4BB1-9BBC-99E8F1E72774}D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [{E82DC07B-E174-41D1-8412-458CCA41AFF1}] => (Allow) C:\Users\Андрей\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{D428C63E-FA16-45E2-BE54-9A031A5F3EE9}] => (Allow) C:\Users\Андрей\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{1ACF3587-869F-41EB-A6EA-AC5857399625}] => (Allow) D:\Games\Dont Starve Together v568393\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{D879C86C-8A30-4108-90C5-925B651E52DE}] => (Allow) D:\Games\Dont Starve Together v568393\bin64\dontstarve_steam_x64.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

 

 

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Shooky27
      Автор Shooky27
      Заметил что при запуске Google Chrome он грузится ~ 10-15 секунд и закрывается, после повторного запуска браузер открывается без расширений (с предустановленным расширением PDF Viewer?) и из-за синхронизации расширения устанавливаются обратно.
      При сканировании антивирусом PRO32 ничего не выскакивает, сканировал все диски в том числе все папки на рабочем столе и ничего не нашло, Dr.Web Cureit находит упомянутый в заголовке CHROMIUM.PAGE.MALWARE.URL, но при попытке вылечить выскакивает "Ошибка при лечении".
      Пробовал исправить данную проблему с помощью AvBr, ADWcleaner, FRST. Пробовал даже скопировать скрипты с различных тем с такой же проблемой, но ничего не помогло. Также пробовал отключать синхронизацию, поскольку некоторые пользователи сталкивавшиеся с такой же проблемой ссылались на проблему синхронизации, но это тоже не помогло. 
      Логи прикрепляю.
      CollectionLog-2025.06.28-22.48.zip
    • Solnepek7
      Автор Solnepek7
      Помогите пожалуйста, никак не могу найти майнер на ноутбуке. Почему думаю что майнер, потому что при включении диспетчера задач или process exp, ноут сразу затихает и вентиляторы не крутятся, как только диспетчер закрою, сразу большая активность. Сижу битый час общаюсь с DeepSeek, он там что то рекомендует, но не видит(я скрины ему кидал). Скачал SystemInformer (process hacker тот же), тут уже интереснее, при закрытии диспетчера cmd.exe грузит CPU до 33% и жрет 2.4гб памяти, но в дереве процессов не могу найти этот искомый файл что так грузит и запускается через команду. При открытии диспетчера process hacker сразу показывает что cpu в норме, 99% простаивает и файл закрывается. То есть при открытии диспетчера майнер закрывается, с помощью  process hacker не получается найти, банально не понимаю куда тыкать, да же с помощью нейрухи, deepseek иногда говорит несуществующие вкладки. Пришёл к реальным людям)
      Логи прикрепил, в безопасном режиме включал, всё тихо, шума нет, 99% простой системы. 3 раза сделал полную проверку касперским, не видит
      CollectionLog-2025.06.11-19.09.zip

    • sencity72
      Автор sencity72
      Вирус подменяет диспетчер задач - при открытии видно нагрузка ЦП, спустя секунду диспетчер задач превращется в статичную картинку с меньшими показателями нагрузки - антивирусы не помогают.
      CollectionLog-2025.06.16-08.28.zip
    • Максим Субботин
      Автор Максим Субботин
      Позвонила девушка из маркетинга компании Ростелеком, предложила прислать смс на подключение ознакомительной версии Антивируса Касперский. Я вежливо отказался. Следом пришла смс с предложением зайти на сайт, согласиться с условиями подключения сервиса и получить ключ на подключение антивируса. Я не стал заходить на сайт, соглашаться с получением сервиса и получать ключ на подключение антивируса. Через некоторое время услуга Антивирус Касперского появился в списке услуг в личном кабинете, и пришел счет на его оплату. Удалить услугу из личного кабинета удалось только по звонку в службу продержки Ростелеком. Похоже, что таких как я очень много, так как в голосовом помощнике Ростелеком (8-800-707-12-12) даже предусмотрена отдельная цифра для отключения Антивируса Касперского ("для отключения АК нажмите цифру 5").
      Интересно, в компании Касперский знают, каким способом распространяется их продукт (сам по себе достаточно неплохой), и какой репутационный ущерб наносят сотрудники компании Ростелеком таким распространением компании Лаборатория Касперского.
       
       
    • SuPeR_1
      Автор SuPeR_1
      При запуске открываются много окон и моментально закрываются. Раньше такого не было.
×
×
  • Создать...