Перейти к содержанию
Правила раздела

не устанавливается ни один из продуктов Kaspersky

cod111

Автор cod111
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

cod111

cod111

Опубликовано
Опубликовано

здравствуйте, есть две учетные записи с правами администратора. Вчера удалился сам Kasperskiy Free. после скачал KVRT не запускается сканирование, нажимаю на сканирование кнопка нажимается, а сканирование не запускается. дальше скачиваю Kasperskiy Security Cloud - не устанавливается, KIS то же самое.  CureIt запустился, нашел два файла подозрительных, дальше вошел во вторую учетную запись, (в ней хожу по удаленке из дома на рабочий комп) под ней Kaspersky Security Cloud установку запустил, но на трети инсталляции выдал ошибку 1303. KVRT запустился, нашел пару троянов, - лечение с перезагрузкой - полное сканирование 73 инфицированных файла. почистил - перешел в учетку номер один, антивирус так же не устанавливаеться, KVRT  не запускается, под учеткой номер два, так же ошибка установки 1303. установил под второй учеткой dr. Web Securiry Space сканирование показало еще около 30 подозрительных файлов. подскажите что с первой учеткой? она настроена под задачи весьма специфические, удалять ее очень проблематично. Вторая используется для подключения по удаленке, из дома, для копирования ежедневных копий 1С 

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger

Цитата

O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKU\S-1-5-21-638615793-2609057819-108276719-1001\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-638615793-2609057819-108276719-1001\...\MountPoints2: {75deb276-0ab6-11ea-8aff-806e6f6e6963} - C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\default_ru.hta
HKU\S-1-5-21-638615793-2609057819-108276719-1001\...\MountPoints2: {83768f82-46ed-11ea-959b-f4b520130936} - E:\SISetup.exe
HKU\S-1-5-21-638615793-2609057819-108276719-1001\...\MountPoints2: {e94aeaf6-6400-11ea-bc0a-f4b520130936} - E:\setup.exe
HKU\S-1-5-21-638615793-2609057819-108276719-1001\...\MountPoints2: {e94aeafb-6400-11ea-bc0a-f4b520130936} - autorun2.exe
GroupPolicy: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: {A9DEE1F5-D3DC-432B-BC72-A0D2BDF59D3C} - \Microsoft\Windows\Wininet\SystemC -> No File <==== ATTENTION
Task: {E9DA6A84-79F5-4D0C-99A5-FDEC39A00A36} - \OInstall -> No File <==== ATTENTION
2020-07-20 11:40 - 2020-04-07 10:42 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2020-07-20 11:40 - 2020-04-07 10:42 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-07-20 11:03 - 2020-04-17 08:51 - 000000000 __SHD C:\KVRT_Data
2020-07-20 11:00 - 2020-04-17 08:51 - 000000000 __SHD C:\AdwCleaner
2020-07-17 08:47 - 2020-04-17 08:51 - 000000000 __SHD C:\Users\Все пользователи\Windows
2020-07-17 08:47 - 2020-04-17 08:51 - 000000000 __SHD C:\Users\Все пользователи\RunDLL
2020-07-17 08:47 - 2020-04-17 08:51 - 000000000 __SHD C:\ProgramData\Windows
2020-07-17 08:47 - 2020-04-17 08:51 - 000000000 __SHD C:\ProgramData\RunDLL
2020-07-16 12:59 - 2019-11-15 10:50 - 000000000 ____D C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-07-16 12:59 - 2019-11-15 10:50 - 000000000 ____D C:\ProgramData\Kaspersky Lab Setup Files
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\Users\Все пользователи\install
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\rdp
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\ProgramData\Setup
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-07-16 12:46 - 2020-04-17 08:51 - 000000000 __SHD C:\ProgramData\install
2020-07-15 16:45 - 2020-04-17 08:51 - 000000000 __SHD C:\Program Files\RDP Wrapper
2020-07-15 15:36 - 2019-11-15 10:55 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2020-07-15 15:36 - 2019-11-15 10:55 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [314]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B755D674 [314]
FirewallRules: [{A95DBCD3-3F8F-4111-93F2-FD96BC611F17}] => (Allow) C:\Program Files\HP\HP Officejet Pro 6830\bin\FaxApplications.exe => No File
FirewallRules: [{EEEC463B-27DD-4DB5-AB39-B01C4BC36C6F}] => (Allow) C:\Program Files\HP\HP Officejet Pro 6830\bin\DigitalWizards.exe => No File
FirewallRules: [{35287B69-C110-403A-A753-B48717680D78}] => (Allow) C:\Program Files\HP\HP Officejet Pro 6830\bin\SendAFax.exe => No File
FirewallRules: [{80F6CF53-AA42-492C-92E4-383F223E8308}] => (Allow) C:\Program Files\HP\HP Officejet Pro 6830\Bin\DeviceSetup.exe => No File
FirewallRules: [TCP Query User{5F1E98E0-399F-4FC2-AF13-B2C3A0B8CC53}D:\xampp\mysql\bin\mysqld.exe] => (Block) D:\xampp\mysql\bin\mysqld.exe => No File
FirewallRules: [UDP Query User{F5B705F8-37B4-43CB-A2A7-4560A270593F}D:\xampp\mysql\bin\mysqld.exe] => (Block) D:\xampp\mysql\bin\mysqld.exe => No File
FirewallRules: [TCP Query User{72602397-4533-4005-9B4D-416A5EAE1E0E}D:\rise of the tomb raider\rottr.exe] => (Allow) D:\rise of the tomb raider\rottr.exe => No File
FirewallRules: [UDP Query User{25E28CAE-DD63-417A-918F-598BAC70A0F7}D:\rise of the tomb raider\rottr.exe] => (Allow) D:\rise of the tomb raider\rottr.exe => No File
FirewallRules: [TCP Query User{FE8A4B54-94CA-498C-B8B2-0247D66AAA72}D:\rise of the tomb raider\rottr.exe] => (Allow) D:\rise of the tomb raider\rottr.exe => No File
FirewallRules: [UDP Query User{15B9B99C-A177-4CD1-A3F0-610A0D1D0509}D:\rise of the tomb raider\rottr.exe] => (Allow) D:\rise of the tomb raider\rottr.exe => No File
FirewallRules: [{D543E20E-7CAF-4A38-9E41-7D6E63F8EF6C}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{F981F4EC-D471-4AE9-AA5B-E78239853EF8}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{434049AE-31D1-41D5-AC95-430211C24F40}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{F05DB074-4095-4D45-83A3-5177E78C1785}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{763E6D41-D80C-478F-A08B-F90CC0B12176}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{8EC8BA06-8C74-4F96-97BB-E784198B0FB9}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{3ECBDEA5-38CC-40CD-87FB-C41FEC3AF744}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{D22C557C-6F99-40B8-BF26-B68D5E85A064}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{7D15BE1B-235C-4E2E-A643-93F462603855}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{7826B213-8EFB-499A-B050-3095FBE07D32}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{AA51AB58-8D70-43B2-8257-D54D0EC8DF67}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{4F3F5F47-0E70-4552-8461-4A93987EDA50}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

Еще и шифратора успели подцепить???

cod111

cod111

Опубликовано
  • Автор
Опубликовано
13 минут назад, thyrex сказал:

Еще и шифратора успели подцепить???

 

Да( все вместе. а как нибудь можно посмотреть откуда и когда подцепил?

thyrex

thyrex

Опубликовано
Опубликовано

Судя по дате шифрованных файлов подцепили 15 июля, по времени - конец рабочего дня. Сейчас шифраторы в основном распространяются после входа по RDP.

cod111

cod111

Опубликовано
  • Автор
Опубликовано

 Спасибо вам за помощь!!

RDP через интернет не использовался. только внутри локальной сети. и еще ANYDESK перестал с моего (зараженного) компа подключаться. переустановил, не помогло. К моему подключаются. я так понимаю, компьютеру грозит полное форматирование? И подскажите, что с последним логом?

thyrex

thyrex

Опубликовано
Опубликовано

Мусор почистили. Антивирус установился? Расшифровки VoidCrypt нет.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Новые законы и тенденции кибербезопасности в 2026 году | Блог Касперского
      Автор KL FC Bot
      Прошедший 2025 год серьезно изменил то, куда и как мы получаем доступ в Сети. Радикальные законодательные инициативы, появление ИИ-ассистентов и защита сайтов от ИИ-ботов перестраивают Интернет на наших глазах. Что нужно знать об этих изменениях и какие знания и привычки взять с собой в 2026 год? По традиции опишем это в виде восьми новогодних обещаний. Что обещаем себе в 2026?
      Изучить новые законы своего региона
      Минувший год был богат на законодательные инициативы, значительно меняющие правила пользования Сетью для обычных людей. За последнее время законодатели различных стран:
      запретили соцсети подросткам; ввели строгую проверку возраста, например по удостоверению личности, при посещении тех или иных категорий сайтов; потребовали получать явное родительское согласие на доступ несовершеннолетних ко многим онлайн-сервисам; применяли разные формы давления, включая блокировки и судебные иски к онлайн-платформам, не соблюдающим уже принятые законы о защите детей — наиболее яркая ситуация здесь у Roblox. Почитайте новости на сайтах, подающих их спокойно и не сенсационно, изучите комментарии юристов. Надо понять, какие обязательства ложатся на вас, а если у вас есть несовершеннолетние дети — что меняется для них.
      Возможно, с детьми предстоят трудные разговоры о новых правилах пользования соцсетями или играми. Важно, чтобы подростковый протест не привел детей к опасным ошибкам, таким как установка вредоносного ПО, замаскированного под «мод обхода ограничений», или уход в мелкие и никем не модерируемые соцсети. Подстраховать подрастающее поколение поможет надежная защита их компьютеров и смартфонов вместе с инструментами родительского контроля.
      Но дело не сводится к простому соблюдению законов. Почти наверняка вы столкнетесь с негативными побочными эффектами, которые законодатели не предусмотрели.
       
      View the full article
    • KL FC Bot
      Стилер Stealka ворует аккаунты и криптовалюту, маскируясь под пиратское ПО | Блог Касперского
      Автор KL FC Bot
      В ноябре 2025 года эксперты «Лаборатории Касперского» обнаружили новый стилер Stealka, который ворует данные у пользователей Windows. Злоумышленники используют его для кражи учетных записей и криптовалюты, а также для установки майнера на устройстве жертвы. Чаще всего инфостилер маскируется под кряки, читы и моды для игр.
      Рассказываем, как злоумышленники распространяют стилер и как от него защититься.
      Как распространяется Stealka
      Стилер — это вредонос, который крадет конфиденциальную информацию с устройства жертвы и отправляет ее на сервер злоумышленников. В основном Stealka распространяют на популярных ресурсах — вроде GitHub, SourceForge, Softpedia, sites.google.com и других — под видом кряков известных программ, читов и модов для игр. Чтобы вредонос начал работать, пользователь должен самостоятельно запустить файл.
      Вот, например, опубликованный на SourceForge вредоносный мод для Roblox.
      SourceForge — легитимный сайт, на котором злоумышленники выложили мод со Stealka внутри
       
      View the full article
    • KL FC Bot
      ForumTroll охотится на политологов | Блог Касперского
      Автор KL FC Bot
      Наши эксперты из команды GReAT обнаружили и исследовали новую волну целевых рассылок за авторством APT-группы «Форумный тролль». Причем если раньше их вредоносные письма отправлялись на публичные адреса организаций, то теперь в качестве получателей злоумышленники выбрали конкретных людей — ученых из российских университетов и других научных организаций, специализирующихся на политологии, международных отношениях и мировой экономике. Целью рассылки было заражение компьютеров жертвы зловредом, обеспечивающим удаленный доступ к устройству.
      Как выглядит вредоносное письмо
      Письма злоумышленники отправляли с адреса support@e-library{.}wiki, имитирующего адрес научной электронной библиотеки eLibrary (ее реальный домен — elibrary.ru). Внутри содержались персонализированные ссылки, по которым жертве предлагали скачать отчет о проверке какого-то материала на плагиат, что, по замыслу атакующих, должно было заинтересовать ученых.
      В реальности по ссылке скачивался архив, размещенный на том же домене e-library{.}wiki. Внутри находился вредоносный ярлык и директория .Thumbs с какими-то изображениями, которые, по всей видимости, были нужны для обхода защитных технологий. В названии архива и вредоносного ярлыка использовались фамилия, имя и отчество жертвы.
      В случае если жертва испытывала сомнения в легитимности письма и заходила на страницу e-library{.}wiki, ей показывали несколько устаревшую копию настоящего сайта.
       
      View the full article
    • KL FC Bot
      Куда попадают украденные данные после фишинговой атаки | Блог Касперского
      Автор KL FC Bot
      Загадка: пользователь зашел на мошеннический сайт, решил оформить покупку и ввел данные банковской карты, имя и адрес. Что произошло дальше? Если вы думаете, что злоумышленники просто сняли деньги и исчезли — вы ошибаетесь. Увы, все гораздо сложнее. На самом деле украденная информация попадает на гигантский конвейер теневого рынка, где данные жертв циркулируют годами, переходя из рук в руки, и повторно используются для новых атак.
      Мы в «Лаборатории Касперского» изучили, какой путь проходят данные после фишинговой атаки: кому они достаются, как их сортируют, перепродают и используют на теневом рынке. В этом материале мы покажем маршрут похищенных данных и расскажем, как защититься, если вы уже столкнулись с фишингом или хотите избежать его в будущем. Подробный отчет с техническими деталями читайте в блоге Securelist.
      Сбор данных
      Фишинговые сайты тщательно маскируются под настоящие: иногда дизайн, интерфейс и даже домен практически неотличимы от оригинала. Чаще всего злоумышленники используют для кражи данных HTML-формы, в которых пользователю предлагают ввести логин и пароль, реквизиты карты или другую конфиденциальную информацию.
      Как только пользователь нажимает кнопку «Войти» или «Оплатить», информация мгновенно уходит к мошенникам. Иногда данные собирают не напрямую через сайт, а через легитимные сервисы вроде Google Forms, чтобы скрыть конечный сервер.
      Поддельный сайт DHL. Пользователя просят ввести логин и пароль от настоящего аккаунта DHL
       
      View the full article
    • KL FC Bot
      Фишинг в мини-приложениях Telegram: как не попасться на удочку мошенников | Блог Касперского
      Автор KL FC Bot
      Признайтесь: вы давно хотели приобщиться к новому воплощению NFT — подаркам в Telegram — но все как-то не доходили руки. Тема на хайпе — разработчики активно плодят изображения в партнерстве, например, с рэпером Снуп Доггом и другими знаменитостями. У всех друзей профили уже пестрят новомодными картинками, и вам тоже жутко хочется запрыгнуть в этот хайп-трейн «любой ценой, но бесплатно».
      И вдруг вам приходит щедрое предложение от незнакомца — получить парочку подобных подарков без капиталовложений. Выглядящий совсем как официальный бот устраивает airdrop — это такой аттракцион неслыханной щедрости в мире NFT, когда небольшое количество новых криптоактивов бесплатно раздается сообществу в рамках промоакции. Термин перекочевал в Telegram ввиду криптоприроды этих подарков и NFT-механики «под капотом».
      Ограничить время акции — любимый прием маркетологов… и мошенников
       
      View the full article
×
×
  • Создать...