сбой установки Kaspersky Internet Security для всех устройств.

[Мурзин Сергей]

Здравствуйте. комп заражен. проверил cureit-ом в безопасном режиме (нашел - удалил), проверил Kaspersky Virus Removal Tool (нашел - удалил вирусы), проверил NOD32 онлайн (нашел -удалил). ранее был установлен AVG, скачал утилиту удаления - запустил, скачал утилиту удаления продуктов Касперского - запустил. после каждого действия пытался установить Kaspersky Internet Security для всех устройств - на стадии установки программы установка прекращается. как быть? 

CollectionLog-2014.07.18-09.01.zip

[kmscom]

может что то осталось от вирусов или предыдущих продуктов установленных, я бы сначало создал запрос в теме Борьба с вирусами, а потом тут просил помощи по установке продукта Лаборатории, прикрепив ссылку на выполненный отчет GSI

[Roman_Five]

 

 

может что то осталось от вирусов или предыдущих продуктов установленных

и то, и то.

 

@Мурзин Сергей,

дождитесь развёрнутого ответа консультанта.

[Мурзин Сергей]

может что то осталось от вирусов или предыдущих продуктов установленных, я бы сначало создал запрос в теме Борьба с вирусами, а потом тут просил помощи по установке продукта Лаборатории, прикрепив ссылку на выполненный отчет GSI

и я так думаю! в моём описании проблемы об этом и идет речь, просто я уже не вижу вариантов её решения. И я разве не в теме "борьба с вирусами"? (я первый раз обращаюсь - может чего не понимаю).

и еще: был вирус (не знаю названия) который скрывает папки а вместо них создаёт lnk с таким же названием, так же не открывался сайт касперского. я выполнил команду route /f  и использовал утилиту FiXit для восстановления hosts. сейчас сайт открывается. еще реклама про легкий заработок на домашней странице всех браузеров.

Помогите плиз время поджимает 

[Roman_SO]

@Мурзин Сергей, в качестве дополнительной меры по очистке ПК сделайте следующее:

 

1. Загрузитесь в безопасном режиме.

2. Удалите файлы в каталогах:

[Системный диск]/Users/[Ваш активный пользователь]/Local Settings/Temp - удалить все файлы

[Системный диск]/Windows/Temp - удалить все файлы

 

Данная процедура позволяет избавиться от ряда "блокировщиков" и вирусов.

[Мурзин Сергей]

@Мурзин Сергей, в качестве дополнительной меры по очистке ПК сделайте следующее:

 

1. Загрузитесь в безопасном режиме.

2. Удалите файлы в каталогах:

[Системный диск]/Users/[Ваш активный пользователь]/Local Settings/Temp - удалить все файлы

[Системный диск]/Windows/Temp - удалить все файлы

 

Данная процедура позволяет избавиться от ряда "блокировщиков" и вирусов.

да, я это делал. сначала руками, потом сиклинером, потом штатной очисткой диска. там нет ничего

сиклинер нашел из приложений AVG но ничего не смог вычистить. потом с помощью регэдита я руками всё вычищал - не помогло

[Roman_SO]

@Мурзин Сергей, попробуйте jv16 powertools - чистка реестра. Ну и дождитесь рекомендаций консультанта по отчету.

[thyrex]

@Roman_SO, @kmscom, Вам напомнить правила раздела лечения вирусов? 

 

@kmscom, больше либеральничать я с Вами не буду

 

@Мурзин Сергей, 

 

ClickAndMark удалите через Установку программ

 

Remote Manipulator System, если сами не устанавливали, тоже

 

 

Выполните скрипт в AVZ

 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('C:\DOCUME~1\Admin\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','');
QuarantineFile('C:\WINDOWS\TEMP\ofvtxabcdgd.exe','');
QuarantineFile('C:\WINDOWS\TEMP\Adobe\Reader_sl.exe','');
QuarantineFile('C:\RECYCLER\mscinet.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-67588413\61637xxe16.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-656713\656716.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-626641\zyclin6.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-615643\61bf266.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-626641\zyclin6.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-656713\656716.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-6715643\617bf266.exe','32');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-67588413\61637xxe16.exe','32');
DeleteFile('C:\RECYCLER\mscinet.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Windows Security Firewall Manager','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6zx63xe16','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6z47666','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\675567816','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\zyclin6','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6z4666','command');
DeleteFile('C:\WINDOWS\TEMP\ofvtxabcdgd.exe','32');
DeleteFile('C:\WINDOWS\TEMP\Adobe\Reader_sl.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe System Incorporated','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MicrosoftStCnt','command');
DeleteFile('C:\DOCUME~1\Admin\APPLIC~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE','32');
DeleteFile('C:\WINDOWS\Tasks\ClickAndMark Update.job','32');
DeleteFile('C:\WINDOWS\Tasks\ClickAndMark_wd.job','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(9); 
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

 

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Выполняется запрос хэлпера".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 15 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Сделайте новые логи

 

Сделайте лог полного сканирования МВАМ

[Мурзин Сергей]

ClickAndMark отсутствует в списке установленных программ (установка удаление программ)

Remote Manipulator System в списке есть, но не удаляется - нет файла .msi хотя в programm files кое что осталось (видимо криво удалили)

всё остальное сделал по инструкции, прошло без ошибок, логи создал

не могу найти как их прекрепить

[mike 1]

Перейдите в расширенный режим редактирования сообщений там будет кнопка для выбора и загрузки вложений.

[Мурзин Сергей]

спасибо. вот логи

антивирус не установился

CollectionLog-2014.07.19-00.27.zip

MBAM лог.txt

[thyrex]

Поместите в карантин МВАМ только

Registry Keys: 5
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\mbam.exe, , [a8f9b6eadd9e1521e01cc3a5659ec937],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\mbamgui.exe, , [61407927ef8cc76f3909c74c9e6501ff],
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\rstrui.exe, , [c9d8f8a890eb93a32fb9ce9cee153fc1],
PUP.Optional.ClickNMark.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\click-n-mark, , [653cd8c8512a280edab5d00bea1803fd],
PUP.Optional.ClickNMark.A, HKU\S-1-5-21-1844237615-1960408961-1177238915-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\click-n-mark, , [bae7633da7d457df7a157368ac562bd5],

Registry Values: 7
PUM.Bad.Proxy, HKU\S-1-5-21-1844237615-1960408961-1177238915-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|ProxyServer, http=127.0.0.1:13828, , [a1003f619fdc6ec8a6b424f34eb6cd33]
Worm.AutoRun, HKU\S-1-5-21-1844237615-1960408961-1177238915-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Shell, explorer.exe,C:\RECYCLER\mscinet.exe, , [732ebae61b60fd39624b72e624df2cd4]

Registry Data: 3
Hijack.StartPage, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://DreamLair.net, Good: (http://www.google.com), Bad: (http://DreamLair.net),,[920f0e928cefe5516c5f76290ef6a35d]
Hijack.StartPage, HKU\S-1-5-21-1844237615-1960408961-1177238915-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://DreamLair.net, Good: (http://www.google.com), Bad: (http://DreamLair.net),,[049d841cdd9ecb6b54783d62b4503fc1]
Hijack.Shell, HKU\S-1-5-21-1844237615-1960408961-1177238915-500-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Shell, explorer.exe,C:\RECYCLER\mscinet.exe, Good: (Explorer.exe), Bad: (explorer.exe,C:\RECYCLER\mscinet.exe),,[5d442f716a1122148c5f8e1450b406fa]

Folders: 3
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp, , [dec3940cb5c685b12e0a7435e919ad53],

Files: 23
Trojan.Downloader, C:\Documents and Settings\Admin\Application Data\9.exe, , [663b881889f2fd39e5f7f81f08fb16ea],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\b.html, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\b.js, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\c.js, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\icon128.png, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\icon16.png, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\icon48.png, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Documents and Settings\Admin\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\iphaaafjhmkmljeoojhodfppbffnanmh\1.158.0.0_0\manifest.json, , [4859722e8bf0bb7b8aed6344f2108e72],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\158.crx, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\158.dat, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\158.xpi, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\a.db, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\b.db, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\ClickAndMark158.bin, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\ClickAndMark158.dll, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\ClickAndMark158.ini, , [dec3940cb5c685b12e0a7435e919ad53],
PUP.Optional.ClickNMark.A, C:\Program Files\click-n-mark Corp\Sqlite3.dll, , [dec3940cb5c685b12e0a7435e919ad53],

[Мурзин Сергей]

как это сделать?

[Roman_Five]

http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584

[Мурзин Сергей]

сделал, только почему-то после сканирования не все объекты отобразились. в вашем списке больше. какие нашел - в карантин, остальные игнорировал. после применения сделал лог - прикрепил.

проблема не устранилась.

MBAM лог3.txt