[РЕШЕНО] Очень быстро закрывается установщик антивируса Касперского

[Bozmanok 0]

На ноутбуке стоит Windows 11. С недавних пор ноут резко стал активно шуметь и греться, иногда даже выключаться. Возникло подозрение на вирус-майнер. Решил установить антивирус Касперского.

Скачал установщик, пробую запускать, а он тут же закрывается. Пробовал с другими установщиками то же самое - результат идентичный. 

Стал гуглить решения, и он не давал открывать страницы support Касперского.

Сейчас вот с телефона открыл этот сайт и пишу.

Прошу помочь с установкой антивируса

[mike 1 1 047]

Здравствуйте, скачайте https://www.safezone.cc/resources/av-block-remover-avbr.224/, сохраните утилиту в директорию C:\12345, запустите от имени Администратора, следуйте рекомендациям утилиты, прикрепите лог утилиты.  

 

Далее сделайте логи по правилам раздела https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

[Bozmanok 0]

Спасибо большое за реакцию!

Но как-то получилось быстро успеть прокликать кнопки установки, и антивирус установился. 

Были обнаружены трояны-майнеры, удалил их. Стало теперь отлично)

Извините, что побеспокоил. И спасибо вам)

[thyrex 1 418]

После майнера зачастую в системе могут остаться его следы. Поэтому рекомендуется выполнить написанное в сообщении выше.

[Bozmanok 0]

Попробовал запустить от имени администратора, и появилось окно с текстом "Операция отменена из-за ограничений, действующих на этом компьютере. Обратитесь к системному администратору".

Как понимаю, вирус перенял на себя права админа? Как запустить avbr?

[thyrex 1 418]

Распаковать не на Рабочий стол и не в папку Загрузки, либо просто перенести в любую другую папку

[Bozmanok 0]

Попробовал и так, и сяк - по-прежнему показывает то окно с ошибкой про администратора

[thyrex 1 418]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Bozmanok 0]

Попробовал, по-прежнему не могу запустить. Появляется то самое окно с ошибкой про администратора. 

 

Переименовал скачанный файл в 12345, и запустил от имени администратора. В итоге получилось просканировать и собрать логи.
Прилинковал к сообщению в виде архива

FRST.zip

[thyrex 1 418]

1 час назад, Bozmanok сказал:

Переименовал скачанный файл в 12345, и запустил от имени администратора

А теперь внимательно смотрим, куда Вы распаковали AVBR

Цитата

2023-10-25 22:19 - 2023-10-25 22:19 - 000000000 ____D C:\Users\Андрей\Downloads\AVbr

и внимательно читаем то, что я писал выше

17 часов назад, thyrex сказал:

Распаковать не на Рабочий стол и не в папку Загрузки, либо просто перенести в любую другую папку

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [11] Cube.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [12] AVbr.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [13] AV_br.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [15] cureit.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [17] eset_internet_security_live_installer.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [18] esetonlinescanner.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [19] eset_nod32_antivirus_live_installer.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [20] MBSetup.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [21] PANDAFREEAV.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [22] bitdefender_avfree.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [23] drweb-12.0-ss-win.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [24] Cureit.exe
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\...\Policies\Explorer\DisallowRun: [27] rkill.exe
2023-10-17 00:39 - 2023-10-17 00:39 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Downloads\AV_block_remover
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Downloads\AutoLogger
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Desktop\AV_block_remover
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\Desktop\AutoLogger
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\Users\Андрей\AppData\Roaming\Sysfiles
2023-10-17 00:39 - 2023-10-17 00:39 - 000000000 __SHD C:\ProgramData\princeton-produce
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол и не в папку Загрузки), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Удалите старые файлы FRST.txt и Addition.txt, сделайте новые и прикрепите в архиве к следующему сообщению.

[Bozmanok 0]

Цитата

А теперь внимательно смотрим, куда Вы распаковали AVBR

Я и в загрузках распаковал, и в самом диске С (создав в ней папку), как вы писали раньше. Вы не переживайте, я правда всё по инструкции делал.

Проделал все шаги из последней инструкции, набор логов приложил в виде архива

Логи.zip

 

Простите, с AV block remover только неверно выполнил действие - распаковал на Рабочем столе) Теперь распаковал снова в диске С, в папке 12345. Повторил действия и получил лог. Приложил его в этом сообщении

AV_block_remove_2023.10.28-00.47.log

[thyrex 1 418]

После выполнения предыдущей рекомендации распаковывать можно было уже в любое место  Даже на Рабочий стол и в Загрузки. Хотя при первом удачном запуске AVBR Вы так и не дождались окончания его работы видимо.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1465077020-3137048832-244270752-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{901B2B1F-D1CE-4DE3-A68B-D3BC87158A95}D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe] => (Allow) D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe => Нет файла
FirewallRules: [UDP Query User{43713BDD-2BE8-4738-99B0-C629F260EF84}D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe] => (Allow) D:\xboxgames\microsoft flight simulator\content\flightsimulator.exe => Нет файла
FirewallRules: [TCP Query User{DB936D54-BDE3-4866-B9EF-8F4A66370261}D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [UDP Query User{C9FEA6D8-7B69-453B-A028-5688EF87F978}D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\downloads\gunsmith simulator v0.19.14\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [TCP Query User{D6B868A7-7673-4295-AC0E-8888A1F74707}D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [UDP Query User{71010A63-4624-4BB1-9BBC-99E8F1E72774}D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe] => (Allow) D:\games\gunsmith simulator v0.19.14\gunsmith simulator.exe => Нет файла
FirewallRules: [{E82DC07B-E174-41D1-8412-458CCA41AFF1}] => (Allow) C:\Users\Андрей\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{D428C63E-FA16-45E2-BE54-9A031A5F3EE9}] => (Allow) C:\Users\Андрей\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла
FirewallRules: [{1ACF3587-869F-41EB-A6EA-AC5857399625}] => (Allow) D:\Games\Dont Starve Together v568393\bin64\dontstarve_steam_x64.exe => Нет файла
FirewallRules: [{D879C86C-8A30-4108-90C5-925B651E52DE}] => (Allow) D:\Games\Dont Starve Together v568393\bin64\dontstarve_steam_x64.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

 

 

[Bozmanok 0]

Выполнил шаги последней инструкции, прикладываю лог к сообщению

Fixlog.txt

[thyrex 1 418]

Антивирус установился и работает, если я правильно понял?

[Bozmanok 0]

55 минут назад, thyrex сказал:

Антивирус установился и работает, если я правильно понял?

Да, верно