Компьютер заражен. При установке Касперского вылазиет "Ошибка 1310. Ошибка записи в файл"

[maxkrav]

Здравствуйте!
Прошу помочь.
Поймал вирусы.
ОС Windows Server 2012 R2 Standart.
Она используется для доступа других компов по интернету по удаленным рабочим столам для работы.
На ней был установлен лицензионный Kaspersky Small Office Security.
Примерно месяц назад стал замечать на локальных компах прерывание сеансов удаленного доступа.
Сегодня решил проверить. Оказывается, что Kaspersky Small Office Security удален.
Попытался установить - не получается. Всплывает "Ошибка 1310. Ошибка записи в файл".
Cкачал CureIT, запустил. Он нашел много вирусов, но полечил или удалил не все.
Также запускал программу AVZ. Запустить ее смог только со съемного диска.
Программа AutoLogger.exe также не запускалась с жесткого диска. Смог запустить только со съемного.
Логи во вложении.

CollectionLog-2017.09.24-14.10.zip

[thyrex]

KeyLogger MPK сами устанавливали?

 

Выполните скрипт в AVZ

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','');
 SetServiceStart('wscsvs', 4);
 DeleteService('werlsfks');
 DeleteService('wcvvses');
 DeleteService('spoolsrvrs');
 DeleteService('wscsvs');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','');
 QuarantineFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','');
 QuarantineFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','');
 QuarantineFile('C:\Windows\SysWOW64\inspect.exe','');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','');
 TerminateProcessByName('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe');
 QuarantineFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\mms.exe','32');
 DeleteFile('c:\windows\inf\axperflib\0010\0011\000e\0015\taskhostex.exe','32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe','32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe','32');
 DeleteFile('C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe','32');
 DeleteFile('C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\GoogleUpdateTaskMashine','64');
 DeleteFile('C:\Program Files\Common Files\Microsoft Shared\HP\webisida.browser.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Перезагрузку компьютера выполните вручную.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[maxkrav]

KeyLogger MPK не устанавливал. Даже не знаю что это такое.

 

До того как вы прислали что делать запустил программу KVRT.exe, которая как понял удалила этот KeyLogger MPK с перезагрузкой.

 

Все ваши действия выполнил. Касперский также не ставится.

 

KLAN-6863973297

Ответ следующий:

 

////////////////////////////////////////////////

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
mms.exe
mms_0.exe
lsm.exe
mms_1.exe
inspect.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

//////////////////////////////////////////////

 

 

Новые логи во вложении.

CollectionLog-2017.09.24-17.38.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[maxkrav]

Выполнил.

 

Отчеты во вложении.

Отчеты FRST64.zip

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
IFEO\sethc.exe: [Debugger] seth.exe
ShortcutTarget: Punto Switcher.lnk -> C:\Users\Администратор\AppData\Roaming\Punto\lsass.exe (No File)
BHO: Kaspersky Protection -> {2E38825B-8815-42CF-9126-C58BC28D4591} -> C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\x64\IEExt\ie_plugin.dll => No File
Toolbar: HKLM - Kaspersky Protection Toolbar - {093F479D-712E-46CD-9E06-62E734A05F68} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\x64\IEExt\ie_plugin.dll No File
S2 spoolsrvrs; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\1049\5.0\mms.exe [X]
S2 wcvvses; C:\Windows\Inf\axperflib\0010\0011\000A\0010\mms.exe [X]
S2 werlsfks; C:\Windows\Inf\NETLIBRARIESTIP\000D\1049\5.0\SQL\lsm.exe [X]
S2 wscsvs; C:\Windows\Inf\axperflib\0010\0011\000E\0015\mms.exe [X]
C:\Windows\Inf\axperflib\0010
C:\Windows\Inf\NETLIBRARIESTIP\000D

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Перезагрузку компьютера выполните вручную.

[maxkrav]

Выполнил.

 

Fixlog.txt во вложении.

Fixlog.txt

[thyrex]

Попробуйте удалить все следы установки антивируса утилитой http://media.kaspersky.com/utilities/ConsumerUtilities/kavremvr.exe

А потом попробуйте установить его заново

[maxkrav]

Выполнил, но Касперский не устанавливается.

 

Выдает ту же ошибку.

 

Такое ощущение, что вирусы запретили многие действия.

 

Например, даже программу торрент не могу открыть.

 

Также при запуске программы AutoLogger.exe выдает ошибку.

[thyrex]

Да тут вирусы не причем. Скорее это настройки сервера виноваты. Или это последствия после удаления антивируса вручную после удаленного входа в систему.

 

Error: (09/24/2017 05:23:35 PM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G)

Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe.  Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке.

 

Error: (09/24/2017 05:13:56 PM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G)

Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe.  Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке.

 

Error: (09/24/2017 01:42:36 PM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G)

Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe.  Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке.

 

Error: (09/24/2017 11:57:41 AM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G)

Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe.  Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке.

 

Error: (09/24/2017 10:21:38 AM) (Source: MsiInstaller) (EventID: 11310) (User: WIN-TN71ARLH39G)

Description: Программа: Kaspersky Small Office Security -- Ошибка 1310. Ошибка записи в файл: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\avp.exe.  Системная ошибка 0. Убедитесь, что вы обладаете правами доступа к папке.

 

Error: (09/24/2017 10:12:36 AM) (Source: MsiInstaller) (EventID: 10005) (User: WIN-TN71ARLH39G)

Description: Программа: Kaspersky Small Office Security -- Внутренняя ошибка 2318. C:\ProgramData\Kaspersky Lab\AVP17.0.0\dummy.tmp

 

Error: (09/24/2017 10:11:03 AM) (Source: MsiInstaller) (EventID: 10005) (User: WIN-TN71ARLH39G)

Description: Программа: Kaspersky Small Office Security -- Ошибка 29005. Вы выбрали папку или диск, где уже есть файлы. Программа не может быть установлена в папку, где уже есть файлы, так как после включения функции "Самозащита" могут возникнуть проблемы с доступом к этим файлам.<<29005>>InstallDir=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 17.0.0\

 

Error: (09/14/2017 09:11:59 PM) (Source: MsiInstaller) (EventID: 1013) (User: NT AUTHORITY)

Description: Программа: Kaspersky Small Office Security -- Пароль для удаления программы не задан либо неверен.

 

 

Попробуйте обратиться в техподдержку. Возможно, что для удаления всех следов корпоративных продуктов есть отдельный ремувер.  

[maxkrav]

Если вирусы не при чем, то почему программы AutoLogger, AVZ и KVRT не запускаются с жесткого диска?

[thyrex]

 

 

почему программы AutoLogger, AVZ и KVRT

политики на сервере скорее всего срабатывают

 

Как вариант, проверить сервер с помощью Kaspersky Rescue Disk https://support.kaspersky.ru/viruses/rescuedisk

[maxkrav]

Проверял сервер с помощью Kaspersky Rescue Disk.

Дошел до 99% и после два часа на этой отметке. Устал ждать.

Но программа ничего не нашла.

 

Так на сервере были вирусы, когда написал сообщение?

[thyrex]

Только программа удаленного администрирования, компоненты которой удалялись в первом скрипте и дочищались далее. Такие программы относятся к категории потенциально опасных, но полноценными вирусами их считать не нужно.

[maxkrav]

Спасибо за помощь.

 

Обратился в службу техподдержки Касперского.

 

Вот их первое сообщение:

 

////////////////////////////////////////////////////////////////////

Здравствуйте!

Уточните, пожалуйста, пробовали ли Вы создать новую учетную запись с правами администратора и проверить наличие проблем?

Для диагностики пришлите нам, пожалуйста, отчёт утилиты GetSystemInfo версии 6: http://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.exe
Инструкции по созданию отчёта Вы можете найти здесь: http://support.kaspersky.ru/3632


Пожалуйста, обратите внимание, что в случае, если ответ от Вас не будет получен в течение 7 дней, запрос будет расценён как решённый или не требующий ответа.

С уважением,
Служба Технической ПоддержкиАО "Лаборатория Касперского"

 

/////////////////////////////////////////////////////////////////

 

Посмотрим, может правда конфликт антивируса и сервера.