Подхватил вирусы. Не запускается сканирование KVRT

[Kaktyc]

Скачал игру с тех пор компьютер стал подтормаживать и не давал зайти на сайты антивирусов, запусил dr web cureit удалил 11 вирусов. Решил установить проверить Kaspersky Virus Removal Tool, но проверка не запускается. В папке ProgramData куча фигни, которая не удаляется (Avast, 360safe, avira и т.д).

Все сделал по инструкции лог во вложении. Спасибо!

CollectionLog-2020.10.11-19.29.zip

[regist]

Здравствуйте!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
end;

begin
 AV_block_remove;
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\com.squirrel.Teams.Teams','x64');
ExecuteSysClean;
RebootWindows(true);
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

ответ сообщите здесь (с указанием номера KLAN)

    

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Изменено 11 октября, 2020 пользователем regist

[Kaktyc]

15 минут назад, regist сказал:

Здравствуйте!

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteWizard('SCU', 2, 3, true);
end;

begin
 AV_block_remove;
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\com.squirrel.Teams.Teams','x64');
ExecuteSysClean;
RebootWindows(true);
BC_Activate;
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

ответ сообщите здесь (с указанием номера KLAN)

    

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Пока выполнял код, вы редактировали сообщения три раза. Что такое "с указанием номера KLAN"?

 

[regist]

4 минуты назад, Kaktyc сказал:

вы редактировали сообщения три раза

потому что движок форума по дурацки вставляет сообщение, в итоге пришлось отредактировать чтобы нормально читалось. Сам скрипт не менялся ни разу.

5 минут назад, Kaktyc сказал:

то такое "с указанием номера KLAN"?

Делайте последовательно, что написано, тогда ответ на свой вопрос сами и увидите.

[regist]

При редактирование там потерялось

После перезагрузки:
- Выполните в АВЗ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

именно этот архив надо отправить на почту.

PS. вот опять движок коряво вставил и опять пришлось редактировать, чтобы выглядело нормально.

Изменено 11 октября, 2020 пользователем regist

[Kaktyc]

quarantine.zip отправил, ответа пока нет, как долго ждать?

Повторно логи снял.CollectionLog-2020.10.11-21.30.zip

[regist]

"Пофиксите" в HijackThis:

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Kaktyc]

Выполнить не удалось, выдало ошибку.

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

FRST.txt Addition.txt

[regist]

23 часа назад, Kaktyc сказал:

Выполнить не удалось, выдало ошибку.

Пожалуйста, скрин ошибки прикрепите.

 

1) Попробуйте снова пофиксить ту строчку в Хиджак. Если не получится то скрин ошибки прикрепите или текст скопируйте.

2)

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-109142221-741902605-1437635754-1000\...\Policies\Explorer: [DisallowRun] 1
  2020-06-06 21:33 - 2020-06-06 21:33 - 000000000 ___SH () C:\Users\Макс\AppData\Local\LumaEmu
  2020-06-05 23:38 - 2020-08-12 21:39 - 000007607 _____ () C:\Users\Макс\AppData\Local\Resmon.ResmonCfg
  AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [286]
  AlternateDataStreams: C:\Users\Все пользователи\TEMP:4FC01C57 [286]
  FirewallRules: [{9148C142-D185-4358-B954-749AB273E96B}] => (Allow) LPort=3389
  FirewallRules: [{5A48310E-2609-48CA-BD26-E2AE37C180C6}] => (Allow) LPort=3389
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Kaktyc]

!

 

 

Изменено 13 октября, 2020 пользователем Kaktyc

[regist]

@Kaktus, читайте внимательно, что вам пишут, тем более там везде приложены ссылки на подробные инструкции.

11.10.2020 в 20:45, regist сказал:

"Пофиксите" в HijackThis:

Тут разве написано AVZ ?

Или в предыдущем моём сообщение упоминается AVZ ? Зачем вы пытаетесь сделать совсем не то, что написано?

[Kaktyc]

13.10.2020 в 13:17, regist сказал:

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Куда вставлять скопированный текст? Об этом ничего не сказано
 

 

11.10.2020 в 23:45, regist сказал:

"Пофиксите" в HijackThis:

O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1

 

это получилось, Fixlog.txt во вложении

FRST.txt

[thyrex]

5 часов назад, Kaktyc сказал:

Куда вставлять скопированный текст? Об этом ничего не сказано

Разве было написано, что его куда-то нужно было вставлять? Нужно просто дословно выполнить то, о чем Вас просят.

 

5 часов назад, Kaktyc сказал:

Fixlog.txt во вложении

Если бы... Вы снова прикрепили FRST.txt 

[Kaktyc]

18 часов назад, thyrex сказал:

Разве было написано, что его куда-то нужно было вставлять? Нужно просто дословно выполнить то, о чем Вас просят.

 

Если бы... Вы снова прикрепили FRST.txt 

 

Fixlog.txt

[regist]

Что с проблемой?