Перейти к содержанию

Не устанавливается Касп 1303 блокировка прав на папки


Рекомендуемые сообщения

Здравствуйте. 

Где то засел вредитель, скорее всего майнер

Не дает установить антивири, в тч Касперский, Есет, ДрВеб... мб поможете...

Проблема при установки касперского - ошибка 1303, при создании папки в програмфайлз - вирь меняет права доступа и создает проблемы

KVRT и Cureit запускаются, НО, касперский не дает нажать кнопку для начала поиска(вероятно по причине той же 1303), а cure запускается, в нормально режиме ничего не находит, а в безопасном нашел парочку старых. 

 

Мб чем то поможете куда копать? Чего то мысли уже кончились...

Спасибо.

CollectionLog-2020.10.24-14.25.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avira');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
      begin
          QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
          DeleteFileMask(fname, '*', true);
          DeleteDirectory(fname);
      end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
    ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\com.squirrel.Teams.Teams','x64');
ExecuteSysClean;
RebootWindows(true);
BC_Activate;
end.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

После перезагрузки

Файл quarantine.zip из папки AVZ загрузите по ссылке

Полученный после загрузки ответ сообщите здесь.

    

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Благодарю за отклик.

 

Данные по загруженному файлу

201024_133702_Quarantine_5f942dfe85d3a.zip
Размер файла    12644682
MD5    f0e335cdefaa30207cb96c04b9c01e76

 

После скрипта и перезагрузки архив не появился в папке авз, использовал 5й с сайта касперского, была просто папка, ее в zip и положил по ссылке. Верно ли все?

 

И новые логи с автологера

 

CollectionLog-2020.10.24-16.42.zip

Ссылка на сообщение
Поделиться на другие сайты

Файл AV_block_remove.log из папки AVZ прикрепите к сообщению.

 

Скачайте Farbar Recovery Scan ToolNAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-21-1444273552-355351023-2767921733-1004\...\Policies\Explorer\DisallowRun: [11] Cube.exe
Task: {0C05362E-2046-4CE1-BE28-7411D2F9F6C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {19AF49AF-AE32-44E4-99D5-7C1B65C2F8D3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {308A14D5-3E7D-421F-9234-BBC06D6B37FD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {41B6B057-56A3-40EB-A381-CD1F1E703CBA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {4E6EBF30-BABE-44E8-AA13-A6FC109521E5} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {60B6466E-8F4E-4AD4-B2DE-2B01CB339B42} - System32\Tasks\Microsoft\Windows\Wininet\Cleaner => C:\Programdata\WindowsTask\winlogon.exe <==== ATTENTION
Task: {864B6206-9563-4B09-A40E-87C28D845C52} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {89E39D1F-7BA9-4B90-B99E-154A82FE709F} - System32\Tasks\Microsoft\Windows\Wininet\RealtekHDControl => C:\Programdata\RealtekHD\taskhost.exe <==== ATTENTION
Task: {9C950A24-0E3E-41CF-A811-F1287EDCF2AF} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {B8717F3C-0F4A-4035-A1D5-F4E387F510B7} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {ED007FA3-C1AE-44F2-A82C-78F94375676F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {EDBDB78D-00CB-4BA5-A95F-7C0C2F003FDB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {F423DFA7-0500-48F5-8BA3-E3EF900AC421} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
2020-07-13 10:37 C:\Program Files\AVAST Software
2020-07-13 10:37 C:\Program Files\AVG
2020-07-13 10:37 C:\Program Files\ByteFence
2020-07-13 10:37 C:\Program Files\Cezurity
2020-07-13 10:37 C:\Program Files\Enigma Software Group
2020-07-13 10:37 C:\Program Files\ESET
2020-07-13 10:37 C:\Program Files\Kaspersky Lab
2020-07-13 10:37 C:\Program Files\Malwarebytes
2020-07-13 10:37 C:\Program Files\SpyHunter
2020-07-13 10:37 C:\Program Files (x86)\360
2020-07-13 10:37 C:\Program Files (x86)\AVAST Software
2020-07-13 10:37 C:\Program Files (x86)\AVG
2020-07-13 10:37 C:\Program Files (x86)\Cezurity
2020-07-13 10:37 C:\Program Files (x86)\Panda Security
2020-07-13 10:37 C:\Program Files (x86)\SpyHunter
2020-07-13 10:37 C:\Program Files\Common Files\McAfee
2020-07-13 10:37 C:\ProgramData\360safe
2020-07-13 10:37 C:\ProgramData\AVAST Software
2020-07-13 10:37 C:\ProgramData\Avira
2020-07-13 10:37 C:\ProgramData\grizzly
2020-07-13 10:37 C:\ProgramData\Indus
2020-07-13 10:37 C:\ProgramData\Kaspersky Lab
2018-10-07 16:49 C:\ProgramData\Kaspersky Lab Setup Files
2020-07-13 10:37 C:\ProgramData\Malwarebytes
2020-07-13 10:37 C:\ProgramData\MB3Install
2020-07-13 10:37 C:\ProgramData\McAfee
2020-07-13 10:37 C:\ProgramData\Norton
2020-07-13 10:37 C:\Users\Все пользователи\360safe
2020-07-13 10:37 C:\Users\Все пользователи\AVAST Software
2020-07-13 10:37 C:\Users\Все пользователи\Avira
2020-07-13 10:37 C:\Users\Все пользователи\grizzly
2020-07-13 10:37 C:\Users\Все пользователи\Indus
2020-07-13 10:37 C:\Users\Все пользователи\Kaspersky Lab
2018-10-07 16:49 C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-07-13 10:37 C:\Users\Все пользователи\Malwarebytes
2020-07-13 10:37 C:\Users\Все пользователи\MB3Install
2020-07-13 10:37 C:\Users\Все пользователи\McAfee
2020-07-13 10:37 C:\Users\Все пользователи\Norton
AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\ProgramData\TEMP:1AAB2E68 [127]
AlternateDataStreams: C:\ProgramData\TEMP:C87DE406 [133]
AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1AAB2E68 [127]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:C87DE406 [133]
FirewallRules: [{8C19EC1B-DC63-4BFE-8A6F-78B86326D1C9}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{C103BA1E-5FBF-4B98-91B2-B1ADFACEB98B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe => No File
FirewallRules: [{4E4B85C9-4928-4202-B93C-7D10B87AA2E7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{1342AF0A-9B07-448F-A63F-8AAB03BEC83D}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
FirewallRules: [{6AA904E1-DE0C-47F3-BF0E-1B1BD876D256}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
FirewallRules: [{4594F869-EF30-413C-86F5-E8936DC59DC5}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.
     
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От cloud.group
      Боковое меню > Профиль > Настройки профиля
       
      Правильное название "ВКонтакте", а везде написано "Вконтакте". 
      Также, используется устаревшая версия иконки "ВКонтакте"


    • От Tamnus
      Доброго времени суток уважаемые форумчане! Столкнулся вот с такой неприятной проблемой на своем PC.Прошу вас помочь или подсказать что сделать что бы её исправить.Дней 5 -7 назад система стала падать в синий  экран (BSOD). Проблема первый раз возникла при: Запустил игру Owerwatch,поиграл мин 10,вышел из игры, запустил сразу Google Chrome и  возник BSOD.Ошибки на скринах. Написал в техподдержку Blizzard они сказали что это проблема Windows  и моего PC. Хотел подумать что лукавит техподдержка,но тут этот же BSOD выскочил при запуске другой  игры от  Ubisoft .Дампы есть но я в них ничего не понимаю. Могу их сюда выложить. Тесты системы под нагрузкой выполнял не раз, проходят без сбоев. Стресс тесты процессора ,памяти,и видеокарты.(Aida 64) Решил переустановить WIndows,думал это решит проблему, всё было хорошо с установкой программ и работой ПК после переустановки, до тех пор пока не установил Chrome и не запустил его, ПК опять ушёл в BSOD....Ошибка не частая, 70% проявления где то, при попытке её воссоздать... 
       
      Ниже скрин ошибок.
      Ссылка на файлы минидампа : https://yadi.sk/d/q0mO5rJgrngpCg?w=1
       


    • От lolich25
      Привет. проблема в windows 10 pro 64 (2004). без проблем обновился через MediaCreationTool. через время появилась ошибка обновлений 0x80070228. решения в гугле не помогли, как и сам MediaCreationTool (ошибка возникала на этапе установки safe os 0x80070057 0x2000d) и утилита "диагностики и предотвращения неполадок компьютера". ошибка sfc на 12%. dism на 65%. + на днях выпал синий экран после закрытия вкладки в гугл хроме. 0x00000124 (0x0000000000000000, 0xffffc70412acc028, 0x00000000b2000000, 0x0000000000000014). в прошлом билде, когда sfc и dism давали такой же сбой, я заменял поврежденные файлы с установленного дистрибутива c соседнего харда. а после обновления, заменив так же файлы - не помогло, версии разные. есть варианты восстановления? разделял hdd диски gpt и mbr что бы установить туда винду, какая то ошибка вылазила о невозможности установить (пробовал разные проверенные и с офф сайта скаченные образы, что бы установить W 10 2004 и взять от туда файлы). дампы скинул.
      Desktop.7z
    • От oROCKuro
      Здравствуйте люди добрые,такая вот проблема:  Предупреждение Tcpip 4228
      В связи с состоянием сети протокол TCP/IP ограничил коэффициент масштабирования.  Это может быть связано с проблемами в сетевом устройстве и приведет к  снижению пропускной способности.
      В журнале виндовс появилось вот такое предупреждение,после чего скорость ине-та не поднимается выше 6Мбит\с, раньше нормальная скорость была минимум 10Мбит\с(и выше до 30). Провайдеру звонил,сеть проверили\исправили(дали бонус ☹️) вроде у них всё хорошо,конкретно в сети информации очень мало.
      Может кто подсказать что делать, куда копать?
       

    • От oROCKuro
      Ребят спасибо что помогли с прошлой проблемой,но есть собственно ошибка  из за которой всё началось:
       Schannel 36887 Ошибка в журнале виндовс после завершения загрузки любых файлов из сети!
      В каком направлении копать или есть справки какие почитать по решению?

      Также процесс по ID !
      П.С. Ошибка появляется после первой загрузки чего либо из сети и продолжает спавнится с разными интервалами


×
×
  • Создать...