Не устанавливается Касп 1303 блокировка прав на папки

[Luka2]

Здравствуйте. 

Где то засел вредитель, скорее всего майнер

Не дает установить антивири, в тч Касперский, Есет, ДрВеб... мб поможете...

Проблема при установки касперского - ошибка 1303, при создании папки в програмфайлз - вирь меняет права доступа и создает проблемы

KVRT и Cureit запускаются, НО, касперский не дает нажать кнопку для начала поиска(вероятно по причине той же 1303), а cure запускается, в нормально режиме ничего не находит, а в безопасном нашел парочку старых. 

 

Мб чем то поможете куда копать? Чего то мысли уже кончились...

Спасибо.

CollectionLog-2020.10.24-14.25.zip

[thyrex]

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\com.squirrel.Teams.Teams','x64');
ExecuteSysClean;
RebootWindows(true);
BC_Activate;
end.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

После перезагрузки

Файл quarantine.zip из папки AVZ загрузите по ссылке

Полученный после загрузки ответ сообщите здесь.

    

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Luka2]

Благодарю за отклик.

 

Данные по загруженному файлу

201024_133702_Quarantine_5f942dfe85d3a.zip
Размер файла    12644682
MD5    f0e335cdefaa30207cb96c04b9c01e76

 

После скрипта и перезагрузки архив не появился в папке авз, использовал 5й с сайта касперского, была просто папка, ее в zip и положил по ссылке. Верно ли все?

 

И новые логи с автологера

 

CollectionLog-2020.10.24-16.42.zip

[thyrex]

Файл AV_block_remove.log из папки AVZ прикрепите к сообщению.

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Luka2]

Готово.

AV_block_remove.log FRST64.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [11] Cube.exe
Task: {0C05362E-2046-4CE1-BE28-7411D2F9F6C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {19AF49AF-AE32-44E4-99D5-7C1B65C2F8D3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {308A14D5-3E7D-421F-9234-BBC06D6B37FD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {41B6B057-56A3-40EB-A381-CD1F1E703CBA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {4E6EBF30-BABE-44E8-AA13-A6FC109521E5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {60B6466E-8F4E-4AD4-B2DE-2B01CB339B42} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
Task: {864B6206-9563-4B09-A40E-87C28D845C52} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {89E39D1F-7BA9-4B90-B99E-154A82FE709F} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
Task: {9C950A24-0E3E-41CF-A811-F1287EDCF2AF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {B8717F3C-0F4A-4035-A1D5-F4E387F510B7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {ED007FA3-C1AE-44F2-A82C-78F94375676F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {EDBDB78D-00CB-4BA5-A95F-7C0C2F003FDB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F423DFA7-0500-48F5-8BA3-E3EF900AC421} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
2020-07-13 10:37 C:\Program Files\AVAST Software
2020-07-13 10:37 C:\Program Files\AVG
2020-07-13 10:37 C:\Program Files\ByteFence
2020-07-13 10:37 C:\Program Files\Cezurity
2020-07-13 10:37 C:\Program Files\Enigma Software Group
2020-07-13 10:37 C:\Program Files\ESET
2020-07-13 10:37 C:\Program Files\Kaspersky Lab
2020-07-13 10:37 C:\Program Files\Malwarebytes
2020-07-13 10:37 C:\Program Files\SpyHunter
2020-07-13 10:37 C:\Program Files (x86)\360
2020-07-13 10:37 C:\Program Files (x86)\AVAST Software
2020-07-13 10:37 C:\Program Files (x86)\AVG
2020-07-13 10:37 C:\Program Files (x86)\Cezurity
2020-07-13 10:37 C:\Program Files (x86)\Panda Security
2020-07-13 10:37 C:\Program Files (x86)\SpyHunter
2020-07-13 10:37 C:\Program Files\Common Files\McAfee
2020-07-13 10:37 C:\ProgramData\360safe
2020-07-13 10:37 C:\ProgramData\AVAST Software
2020-07-13 10:37 C:\ProgramData\Avira
2020-07-13 10:37 C:\ProgramData\grizzly
2020-07-13 10:37 C:\ProgramData\Indus
2020-07-13 10:37 C:\ProgramData\Kaspersky Lab
2018-10-07 16:49 C:\ProgramData\Kaspersky Lab Setup Files
2020-07-13 10:37 C:\ProgramData\Malwarebytes
2020-07-13 10:37 C:\ProgramData\MB3Install
2020-07-13 10:37 C:\ProgramData\McAfee
2020-07-13 10:37 C:\ProgramData\Norton
2020-07-13 10:37 C:\Users\Все пользователи\360safe
2020-07-13 10:37 C:\Users\Все пользователи\AVAST Software
2020-07-13 10:37 C:\Users\Все пользователи\Avira
2020-07-13 10:37 C:\Users\Все пользователи\grizzly
2020-07-13 10:37 C:\Users\Все пользователи\Indus
2020-07-13 10:37 C:\Users\Все пользователи\Kaspersky Lab
2018-10-07 16:49 C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-07-13 10:37 C:\Users\Все пользователи\Malwarebytes
2020-07-13 10:37 C:\Users\Все пользователи\MB3Install
2020-07-13 10:37 C:\Users\Все пользователи\McAfee
2020-07-13 10:37 C:\Users\Все пользователи\Norton
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\ProgramData\TEMP:1AAB2E68 [127]
AlternateDataStreams: C:\ProgramData\TEMP:C87DE406 [133]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1AAB2E68 [127]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C87DE406 [133]
FirewallRules: [{8C19EC1B-DC63-4BFE-8A6F-78B86326D1C9}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{C103BA1E-5FBF-4B98-91B2-B1ADFACEB98B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{4E4B85C9-4928-4202-B93C-7D10B87AA2E7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{1342AF0A-9B07-448F-A63F-8AAB03BEC83D}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{6AA904E1-DE0C-47F3-BF0E-1B1BD876D256}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{4594F869-EF30-413C-86F5-E8936DC59DC5}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[Luka2]

Сделано

Fixlog.txt

 

thyrex

Боярин, спасибо большое необъятное! Взлетело))) Каспер поставился, спасибо!

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.