[РЕШЕНО] KVRT не запускается на сканирование

[iljael]

После заражения вирусом Вин7_32 при запуске КВРТ тут же автоматически закрывался. Пробовал загружаться в безопасном режиме , происходило тоже самое. Запустил сканирование через ВинХР с другого диска , КВРТ обнаружил и вылечил что то на диске где установлена Вин7_32, после этого

КВРТ стал запускаться но после нажатия на кнопку (Начать проверку) ничего не происходит, в безопасном режиме тоже самое! Помогите пожалуста.

CollectionLog-2020.05.27-13.54.zip GSI6_DISP9_W7_disp9_05_27_2020_13_17_56.zip

[Sandor]

Здравствуйте!

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Windows\rutserv.exe', '');
 QuarantineFile('C:\Users\disp9\AppData\Local\Temp\ОЗУ\iec104.dll', '');
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\ProgramData\Windows\rutserv.exe', '32');
 DeleteService('RManService');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. 

 

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. 
 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. 
Прикрепите к следующему сообщению свежий CollectionLog.
 

[iljael]

Отправил карантин в форме -

2020.05.28_quarantine_ef306ffb824c1618817e3bdc0b6cd30c.7z

Autologger запускал без подсоединения сетевого кабеля , а то у меня после установки и запуска 360 бсоды вылетают (сейчас 360 уже удалён).

 

 

CollectionLog-2020.05.28-08.39.zip

[Sandor]

Очень старая и уязвимая версия Java(TM) 6 Update 16.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[iljael]

Отсутствие подключения к сети на анализируемом компе не мешает анализу ?

FRST.txt Addition.txt

[Sandor]

Нет, не мешает.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\Policies\Explorer: [NoAutoUpdate] 1
  HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTime] 10
  HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyRefreshTimeOffset] 10
  HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\Software\Policies\...\system: [GroupPolicyMinTransferRate] 500
  HKU\S-1-5-21-2381401247-2856236452-1387556285-6701\...\MountPoints2: {06b3707d-84d4-11e8-abe3-d43d7efa478b} - H:\AUTORUN.EXE
  HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
  HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe
  GroupPolicy: Restriction ? <==== ATTENTION
  2020-05-21 14:59 - 2020-05-27 10:09 - 000000000 __SHD C:\ProgramData\Doctor Web
  2020-05-21 14:59 - 2020-05-26 09:31 - 000000000 __SHD C:\Program Files\RDP Wrapper
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\NetworkDistribution
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Windows\McMwt
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Norton
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\McAfee
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\grizzly
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\ESET
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\Avg
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\ProgramData\AVAST Software
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\SpyHunter
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Malwarebytes
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Kaspersky Lab
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ESET
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Enigma Software Group
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\COMODO
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\Cezurity
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\ByteFence
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVG
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\Program Files\AVAST Software
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 __SHD C:\AdwCleaner
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\svchost.exe
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\java.exe
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\Windows\boy.exe
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\script.exe
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\olly.exe
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ___SH C:\ProgramData\kz.exe
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____S C:\ProgramData\lsass.exe
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\MB3Install
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Malwarebytes
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Indus
  2020-05-21 14:59 - 2020-05-21 14:59 - 000000000 ____D C:\ProgramData\Avira
  2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\RunDLL
  2020-05-21 14:58 - 2020-05-27 08:18 - 000000000 __SHD C:\ProgramData\install
  2020-05-21 14:58 - 2020-05-26 09:31 - 000000000 __SHD C:\ProgramData\Windows
  2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\WindowsTask
  2020-05-21 14:58 - 2020-05-25 16:19 - 000000000 __SHD C:\ProgramData\RealtekHD
  2020-05-21 14:58 - 2020-05-21 14:58 - 000000000 __SHD C:\Windows\system32\%APPDATA%
  FirewallRules: [{0081CC45-7CBC-4C57-A481-2C8C1471DCEE}] => (Block) LPort=445
  FirewallRules: [{2A364EDB-7AF6-4B36-93D6-2BCE4BE5DB87}] => (Block) LPort=445
  FirewallRules: [{30917BD9-BB0F-4365-BF8A-0811FD7B4E01}] => (Block) LPort=139
  FirewallRules: [{803427D0-8FE1-48DD-BDC0-7B0B7D5544AA}] => (Block) LPort=139
  FirewallRules: [{D848AFDD-1785-45A8-BDEA-D755EDF82FD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
  FirewallRules: [{F428703A-53A9-4059-A438-4AE181B0023A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
  FirewallRules: [{C8DABE07-3D1A-4CDF-B797-F110EE7D0B4E}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
  FirewallRules: [{223B7A0D-0D5B-47FB-B442-CB4305957A19}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
  FirewallRules: [{27587383-A650-4DD9-9E5D-C6824ECCD05A}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
  FirewallRules: [{27E24930-E9D2-4575-AA5E-D038D806F170}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
  FirewallRules: [{D34F85D0-FED6-4EEC-A624-A1158D3D4E43}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
  FirewallRules: [{10584486-54A1-4A78-816E-B0B23F680B6E}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
  FirewallRules: [{D84965D6-A777-4932-8DC2-7E3924DA990A}] => (Allow) C:\ProgramData\rundll\system.exe => No File
  FirewallRules: [{83BB5110-3DD9-4504-92D4-6815F25EBF72}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
  FirewallRules: [{E55DACA0-724C-4478-8C24-11762102BED3}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe => No File
  FirewallRules: [{F2923A7A-9158-4082-AA59-BD69C1D6E010}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe => No File
  FirewallRules: [{473C0B40-539C-4E24-B095-16E8AF2ED81B}] => (Allow) LPort=9494
  FirewallRules: [{1A55E172-6BE4-4740-AD09-F0F9DC55DEBC}] => (Allow) LPort=9393
  FirewallRules: [{8F1BA702-5F13-4CE7-A698-F2AB984BB88C}] => (Allow) LPort=9494
  FirewallRules: [{5FEFAA0C-F7FC-48BE-AD5E-575BAE7E5C23}] => (Allow) LPort=9393
  FirewallRules: [{BFC6AFA2-A6CC-4C0E-A2A4-EAB0216ED168}] => (Allow) LPort=3389
  FirewallRules: [{FB25CDE3-E3AC-44BF-B28C-98B36DA55A1A}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File
  FirewallRules: [{4DCBAD83-FFDB-40FA-8B2F-9223CB6D7AE1}] => (Allow) C:\Program Files\360\Total Security\softmgr\360InstantSetup.exe => No File
  FirewallRules: [{4558A3F6-D824-4D9B-B2D7-6C7A9662C8A5}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
  FirewallRules: [{A49AA744-C7BB-48AE-9C68-CDA0C3846446}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
  FirewallRules: [{97829526-CE50-451D-9962-0FAAE6C2795E}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
  FirewallRules: [{FA2A6FFC-1C82-4D94-9EF1-2394A7B928F4}] => (Allow) C:\Program Files\360\Total Security\LiveUpdate360.exe => No File
  FirewallRules: [{B9EB3C2C-44B3-42AC-94C8-0C177F4545B1}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File
  FirewallRules: [{732A7164-0145-40FE-9E80-C82607EED9AB}] => (Allow) C:\Program Files\360\Total Security\safemon\QHSafeTray.exe => No File
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[iljael]

Fixlog.txt

[Sandor]

Проблема решена?

[iljael]

Нет , после нажатия кнопки ни чего не происходит.Можно только объекты сканирования выбирать. Может в безопасном попробовать ?

 

 

Я выключал ещё некоторые службы ,может нужна какая нибудь обязательная служба ? Хотя другие приложения вроде нормально запускаются.

Изменено 28 мая, 2020 пользователем iljael

[Sandor]

После выполнения скрипта вы утилиту KVRT скачали заново?

[iljael]

Нет , а надо было ? Она же из винХР нормально запускается. Сейчас попробую заново скачать.

  Нет не заработал.

 

Может образ диска с этой бедой скинуть на яндекс диск для анализа , или ещё попытаться исправить на месте?

Изменено 29 мая, 2020 пользователем iljael

[Sandor]

11 часов назад, iljael сказал:

Она же из винХР нормально запускается

А при чём тут XP? У вас ведь Microsoft Windows 7 Максимальная  Service Pack 1 (X86).

 

Удалите старые и соберите новые отчёты FRST.txt и Addition.txt

[iljael]

Извините за задержку , но с исследуемым компом могу работать только с ПН. по Пятницу.

На ХР запускается тот же файл кврт что и на вин7 так что я считал что кврт рабочий и загружать его заново не нужно.

С бсодами справился удалив обновления которые поставил 360.

Addition.txt FRST.txt

[Sandor]

4 минуты назад, iljael сказал:

я считал что кврт рабочий и загружать его заново не нужно

Скачивать нужно в любом случае, т.к. база обновляется на сервере, а не автоматически. То есть, это инструмент для разовой проверки/лечения.

 

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
  HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
  2020-05-29 14:36 - 2020-06-01 10:18 - 011139072 _____ C:\ProgramData\temp5.exe
  2020-06-01 08:47 - 2018-05-14 15:43 - 000000000 __SHD C:\KVRT_Data
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[iljael]

Антивирусы сейчас у меня не установлены

Fixlog.txt