Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] KVRT не запускается на сканирование

iljael

Автор iljael
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

iljael Новичок

iljael

Опубликовано
Опубликовано

После заражения вирусом Вин7_32 при запуске КВРТ тут же автоматически закрывался. Пробовал загружаться в безопасном режиме , происходило тоже самое. Запустил сканирование через ВинХР с другого диска , КВРТ обнаружил и вылечил что то на диске где установлена Вин7_32, после этого

КВРТ стал запускаться но после нажатия на кнопку (Начать проверку) ничего не происходит, в безопасном режиме тоже самое! Помогите пожалуста.

CollectionLog-2020.05.27-13.54.zipПолучение информации... GSI6_DISP9_W7_disp9_05_27_2020_13_17_56.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\rutserv.exe', '');
 QuarantineFile('C:\Users\disp9\AppData\Local\Temp\ОЗУ\iec104.dll', '');
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\ProgramData\Windows\rutserv.exe', '32');
 DeleteService('RManService');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

 

После перезагрузки, выполните такой скрипт: 

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 
 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

Ссылка на комментарий
Поделиться на другие сайты
iljael Новичок

iljael

Опубликовано
  • Автор
Опубликовано

Отправил карантин в форме -

2020.05.28_quarantine_ef306ffb824c1618817e3bdc0b6cd30c.7z

Autologger запускал без подсоединения сетевого кабеля , а то у меня после установки и запуска 360 бсоды вылетают (сейчас 360 уже удалён).

 

 

CollectionLog-2020.05.28-08.39.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Очень старая и уязвимая версия Java(TM) 6 Update 16.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Нет, не мешает.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\Policies\Explorer: [NoAutoUpdate] 1
HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTime] 10
HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTimeOffset] 10
HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyMinTransferRate] 500
HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\MountPoints2: {06b3707d-84d4-11e8-abe3-d43d7efa478b} - H:\AUTORUN.EXE
HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
GroupPolicy: Restriction ? <==== ATTENTION
2020-05-21 14:59 - 2020-05-27 10:09 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-05-21 14:59 - 2020-05-26 09:31 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\NetworkDistribution
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\McMwt
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Norton
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\McAfee
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\grizzly
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\ESET
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Avg
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\SpyHunter
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ESET
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\COMODO
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Cezurity
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ByteFence
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVG
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVAST Software
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\AdwCleaner
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\svchost.exe
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\java.exe
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\boy.exe
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\script.exe
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\olly.exe
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\kz.exe
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____S C:\ProgramData\lsass.exe
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\MB3Install
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Indus
2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Avira
2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\RunDLL
2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\install
2020-05-21 14:58 - 2020-05-26 09:31 - 000000000 __SHD C:\ProgramData\Windows
2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-05-21 14:58 - 2020-05-21 14:58 - 000000000 __SHD C:\Windows\system32\%APPDATA%
FirewallRules: [{0081CC45-7CBC-4C57-A481-2C8C1471DCEE}] => (Block) LPort=445
FirewallRules: [{2A364EDB-7AF6-4B36-93D6-2BCE4BE5DB87}] => (Block) LPort=445
FirewallRules: [{30917BD9-BB0F-4365-BF8A-0811FD7B4E01}] => (Block) LPort=139
FirewallRules: [{803427D0-8FE1-48DD-BDC0-7B0B7D5544AA}] => (Block) LPort=139
FirewallRules: [{D848AFDD-1785-45A8-BDEA-D755EDF82FD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{F428703A-53A9-4059-A438-4AE181B0023A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{C8DABE07-3D1A-4CDF-B797-F110EE7D0B4E}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{223B7A0D-0D5B-47FB-B442-CB4305957A19}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{27587383-A650-4DD9-9E5D-C6824ECCD05A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{27E24930-E9D2-4575-AA5E-D038D806F170}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{D34F85D0-FED6-4EEC-A624-A1158D3D4E43}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
FirewallRules: [{10584486-54A1-4A78-816E-B0B23F680B6E}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
FirewallRules: [{D84965D6-A777-4932-8DC2-7E3924DA990A}] => (Allow) C:\ProgramData\rundll\system.exe => No File
FirewallRules: [{83BB5110-3DD9-4504-92D4-6815F25EBF72}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
FirewallRules: [{E55DACA0-724C-4478-8C24-11762102BED3}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => No File
FirewallRules: [{F2923A7A-9158-4082-AA59-BD69C1D6E010}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => No File
FirewallRules: [{473C0B40-539C-4E24-B095-16E8AF2ED81B}] => (Allow) LPort=9494
FirewallRules: [{1A55E172-6BE4-4740-AD09-F0F9DC55DEBC}] => (Allow) LPort=9393
FirewallRules: [{8F1BA702-5F13-4CE7-A698-F2AB984BB88C}] => (Allow) LPort=9494
FirewallRules: [{5FEFAA0C-F7FC-48BE-AD5E-575BAE7E5C23}] => (Allow) LPort=9393
FirewallRules: [{BFC6AFA2-A6CC-4C0E-A2A4-EAB0216ED168}] => (Allow) LPort=3389
FirewallRules: [{FB25CDE3-E3AC-44BF-B28C-98B36DA55A1A}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File
FirewallRules: [{4DCBAD83-FFDB-40FA-8B2F-9223CB6D7AE1}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File
FirewallRules: [{4558A3F6-D824-4D9B-B2D7-6C7A9662C8A5}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
FirewallRules: [{A49AA744-C7BB-48AE-9C68-CDA0C3846446}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
FirewallRules: [{97829526-CE50-451D-9962-0FAAE6C2795E}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
FirewallRules: [{FA2A6FFC-1C82-4D94-9EF1-2394A7B928F4}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
FirewallRules: [{B9EB3C2C-44B3-42AC-94C8-0C177F4545B1}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File
FirewallRules: [{732A7164-0145-40FE-9E80-C82607EED9AB}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File
EmptyTemp:
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
iljael Новичок

iljael

Опубликовано
  • Автор
Опубликовано (изменено)

Нет , после нажатия кнопки ни чего не происходит.Можно только объекты сканирования выбирать. Может в безопасном попробовать ?

 

 

Я выключал ещё некоторые службы ,может нужна какая нибудь обязательная служба ? Хотя другие приложения вроде нормально запускаются.

Изменено пользователем iljael
Ссылка на комментарий
Поделиться на другие сайты
iljael Новичок

iljael

Опубликовано
  • Автор
Опубликовано (изменено)

Нет , а надо было ? Она же из винХР нормально запускается. Сейчас попробую заново скачать.

  Нет не заработал.

 

Может образ диска с этой бедой скинуть на яндекс диск для анализа , или ещё попытаться исправить на месте?

Изменено пользователем iljael
Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  В 29.05.2020 в 05:24, iljael сказал:

Она же из винХР нормально запускается

Показать  

А при чём тут XP? У вас ведь Microsoft Windows 7 Максимальная  Service Pack 1 (X86).

 

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
iljael Новичок

iljael

Опубликовано
  • Автор
Опубликовано

Извините за задержку , но с исследуемым компом могу работать только с ПН. по Пятницу.

На ХР запускается тот же файл кврт что и на вин7 так что я считал что кврт рабочий и загружать его заново не нужно.

С бсодами справился удалив обновления которые поставил 360.

Addition.txtПолучение информации... FRST.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано
  В 01.06.2020 в 07:43, iljael сказал:

я считал что кврт рабочий и загружать его заново не нужно

Показать  

Скачивать нужно в любом случае, т.к. база обновляется на сервере, а не автоматически. То есть, это инструмент для разовой проверки/лечения.

 

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
CreateRestorePoint:

HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
2020-05-29 14:36 - 2020-06-01 10:18 - 011139072 _____ C:\ProgramData\temp5.exe
2020-06-01 08:47 - 2018-05-14 15:43 - 000000000 __SHD C:\KVRT_Data
Reboot:
End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Fast_diesel
      После проверки и лечения KVRT и KTS heur:trojan.multi.genbadur восстанавливается.
      Автор Fast_diesel
      Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.
      Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html
      CollectionLog-2024.11.08-21.18.zip
    • Alexandr_XML
      [РЕШЕНО] Активное заражение Win64.SEPEH
      Автор Alexandr_XML
      Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.
      CollectionLog-2024.11.12-07.12.zip
    • Poiluyf
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen помогите удалить
      Автор Poiluyf
      Доброе утро вчера скачал обход для дискорда и цепанул эту заразу. Причём один комп вроде не заразился а вот ноутбуку досталось. Файл dwm.exe. 
      отчет.txt
      Нашёл файл удалить не возможно грузит процессор.
    • kudyukovn
      [РЕШЕНО] Вирус / Майнер
      Автор kudyukovn
      Добрый день, помогите пожалуйста. Словил майнер. Сначала проверил касперским, он его нашел но удалить не смог, после перезагрузки пк вообще перестал видеть его. После переустановки windows 11 майнер остался, на сайты с антивирусами не заходит, а касперский не находит, defender перестал работать.
      Так же до этого комп не включался сутки, горел CPU на материнке. Но сегодня каким то чудом включился.
      Прикрепляю файлы архив от автологера
      CollectionLog-2024.10.14-14.33.zip
      https://imgur.com/a/0O2BObP
      Это отчёт от KVRT
    • sova.prod123
      [РЕШЕНО] Вирус
      Автор sova.prod123
      Здравствуйте, не знаю точно откуда подцепил эту гадость на пк, ибо придя с работы оно уже было на пк, те кто пользовался компьютером, говорят что ничего не скачивали. Kaspersky Virus Removal Tool дал лишь временный эффект, после чего всё вернулось обратно. Сильно нагружается пк, сидит в хосте - не дает нормально открыть браузер с утилитами, сворачивает диспетчер задач, препятствует установке лечащих утилит, с safe режиме дела обстоят чуть получше, но полностью вычистить вирус с пк не удается.
      CollectionLog-2024.10.10-16.48.zip
×
×
  • Создать...